Ransomware TransCrypt blokuje zainfekowane dyski
Badając złośliwe oprogramowanie TransCrypt, odkryliśmy, że jest to forma oprogramowania ransomware wywodząca się z oprogramowania ransomware Chaos. TransCrypt działa poprzez szyfrowanie plików, dodawanie losowych rozszerzeń do nazw plików, zmianę tapety pulpitu i dostarczanie żądania okupu o nazwie „RECOVERFILES.txt”.
Aby zilustrować, jak TransCrypt zmienia nazwy plików, rozważmy przykład zmiany nazwy „1.jpg” na „1.jpg.wwm1” i „2.png” na „2.png.vile” oraz inne modyfikacje.
Notatka z żądaniem okupu wyjaśnia szyfrowanie komputera ofiary przy użyciu algorytmu klasy wojskowej, podkreślając niemożność odzyskania danych bez pomocy okupantów. Notatka odradza ofiary od poszukiwania alternatywnych rozwiązań i podkreśla konieczność skorzystania z ich usługi deszyfrowania.
Notatka o okupie zapewnia bezpieczne i proste odzyskanie wszystkich plików po dokonaniu płatności. Zawiera szczegółowe instrukcje dla ofiary, w tym zakup bitcoinów o wartości 500 dolarów i wysłanie ich pod wskazany adres. Ponadto ofiary są kierowane na adres e-mail potwierdzający transakcję wraz z kluczem deszyfrującym na adres tramoryp@proton.me.
Pełna treść żądania okupu TransCrypt
Pełny tekst żądania okupu TransCrypt wygląda następująco:
you became a victim of the transcrypt ransomware!
the harddisk of your computer have been encrypted with an military grade encryption algorithm.
there is no way to restore your data without our help.
perhaps you are busy looking for a way to recover your files,but don’t waste your time.
nobody can recover your files without our decryption service.we garantee that you can recover all your files safely and easily……..
all you need to do is submit the payment and purchase the decryption key…please follow the instructions:
- buy 500 dollars worth of bitcoin
- send the bitcoin to the following btc-adress: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
- send an email to tramoryp@proton.me with proof of
the transaction and your decryption key -
W jaki sposób oprogramowanie ransomware takie jak TransCrypt może dostać się do Twojego systemu?
Ransomware, w tym jego odmiany takie jak TransCrypt, może infiltrować systemy komputerowe na różne sposoby. Oto typowe metody, za pomocą których oprogramowanie ransomware uzyskuje dostęp do systemów:
E-maile phishingowe: Cyberprzestępcy często wykorzystują e-maile phishingowe do dystrybucji oprogramowania ransomware. Te e-maile mogą zawierać złośliwe załączniki lub łącza, które po kliknięciu pobierają i uruchamiają oprogramowanie ransomware w systemie ofiary. E-maile mogą być zamaskowane jako wiarygodne wiadomości z zaufanych źródeł, nawołujące odbiorcę do otwarcia załącznika lub kliknięcia łącza.
Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić system na oprogramowanie ransomware. Niektóre strony internetowe mogą wykorzystywać luki w przeglądarce lub wtyczkach do dostarczania i uruchamiania oprogramowania ransomware bez wiedzy użytkownika.
Złośliwe reklamy: złośliwe reklamy, zwane złośliwymi reklamami, polegają na tym, że cyberprzestępcy umieszczają zainfekowane reklamy na legalnych stronach internetowych. Kliknięcie tych reklam może prowadzić do pobrania i uruchomienia oprogramowania ransomware w systemie ofiary.
Pobieranie typu drive-by: oprogramowanie ransomware może być dostarczane poprzez pobieranie typu drive-by, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane na urządzeniu użytkownika bez jego zgody, często podczas odwiedzania zainfekowanych witryn internetowych.
Wykorzystywanie luk w oprogramowaniu: Twórcy ransomware często wykorzystują luki w oprogramowaniu, systemach operacyjnych lub aplikacjach, aby uzyskać nieautoryzowany dostęp do systemu. Aktualizowanie oprogramowania w celu łatania znanych luk w zabezpieczeniach jest niezwykle istotne.
Ataki na protokół Remote Desktop Protocol (RDP): Jeśli protokół Remote Desktop Protocol nie jest odpowiednio zabezpieczony, napastnicy mogą zastosować ataki brute-force lub wykorzystać słabe hasła w celu uzyskania dostępu do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware.
