Udaigen Ransomware zaszyfruje pliki ofiar
Podczas badania przesłanych nowych plików nasz zespół dokonał interesującego odkrycia — wariantu oprogramowania ransomware o nazwie Udaigen. Ten złośliwy program działa poprzez szyfrowanie plików, a następnie żądanie okupu w zamian za klucz odszyfrowywania.
Podczas testowania Udaigen na naszej wyznaczonej maszynie zauważyliśmy, że szyfruje on pliki i modyfikuje ich nazwy poprzez dodanie rozszerzenia „.jcrypt”. Na przykład plik o nazwie „1.jpg” został przekształcony w „1.jpg.jcrypt”, a „2.png” w „2.png.jcrypt” i tak dalej. Po zakończeniu procesu szyfrowania oprogramowanie ransomware wyświetlało wyskakujące okienko wraz z plikiem tekstowym o nazwie „_RECOVER__FILES.jcrypt.txt”.
Zarówno komunikat wyskakujący, jak i plik tekstowy zawierały żądania okupu zawierające podobne informacje. Wiadomości informowały ofiarę, że jej pliki zostały zaszyfrowane i zawierały instrukcje ułatwiające proces odszyfrowywania. Ofiara została poinstruowana, aby przelać płatność w wysokości 2 BTC (kryptowaluty Bitcoin), aby uzyskać niezbędny klucz deszyfrujący. W chwili pisania tego tekstu kwota ta wynosi około 57 tys. USD. Warto zauważyć, że kursy walut podlegają częstym wahaniom, w związku z czym przeliczenie może obecnie nie być do końca dokładne.
Uwaga dotycząca okupu Udaigen zawiera listę zaszyfrowanych plików
Pełny tekst żądania okupu Udaigen brzmi następująco:
Wszystkie twoje pliki zostały zaszyfrowane.
Aby je odblokować, wyślij 2 bitcoiny na adres BTC: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Następnie wyślij swój identyfikator transakcji e-mailem na adres: udai@membermail.netBycie trochę leniwym * h nie odzyska twoich plików.
Dziennik szyfrowania:
(lista plików)
W jaki sposób ransomware, takie jak Udaigen, może dostać się na twój komputer?
Oprogramowanie ransomware, takie jak Udaigen, może zainfekować komputer na kilka sposobów. Oto kilka typowych metod:
- Załączniki do wiadomości e-mail: ransomware może być dystrybuowane za pośrednictwem złośliwych załączników do wiadomości e-mail. Cyberprzestępcy często wysyłają e-maile phishingowe podszywające się pod legalne wiadomości z renomowanych źródeł. Te e-maile mogą zawierać zainfekowane załączniki, takie jak dokumenty lub skompresowane pliki, które po otwarciu uruchamiają ransomware na komputerze.
- Zainfekowane strony internetowe i pliki do pobrania: Odwiedzanie zainfekowanych lub złośliwych stron internetowych może narazić komputer na ataki ransomware. Cyberprzestępcy mogą wstrzykiwać złośliwy kod do witryn internetowych, które mogą wykorzystywać luki w zabezpieczeniach przeglądarki internetowej lub wtyczek do cichego pobierania i instalowania oprogramowania ransomware w systemie. Nielegalne pliki do pobrania z niezaufanych źródeł mogą również zawierać ransomware.
- Złośliwe linki i reklamy: Kliknięcie złośliwych linków lub reklam może prowadzić do infekcji ransomware. Linki te można znaleźć w wiadomościach e-mail, platformach społecznościowych, a nawet legalnie wyglądających witrynach internetowych. Po kliknięciu mogą przekierować cię do stron internetowych hostujących oprogramowanie ransomware lub zainicjować pobieranie drive-by, automatycznie instalując oprogramowanie ransomware na twoim komputerze bez twojej wiedzy.
- Wykorzystywanie luk w oprogramowaniu: twórcy ransomware często wykorzystują luki w zabezpieczeniach systemów operacyjnych, aplikacji lub wtyczek. Wykorzystując te luki, mogą uzyskać nieautoryzowany dostęp do komputera i wdrożyć ransomware.
- Ataki Remote Desktop Protocol (RDP): jeśli włączyłeś Remote Desktop na swoim komputerze bez odpowiednich środków bezpieczeństwa, cyberprzestępcy mogą wykorzystać słabe lub domyślne poświadczenia, aby uzyskać dostęp do twojego systemu. Po wejściu do środka mogą zainstalować ransomware lub inne złośliwe oprogramowanie.
- Złośliwe aktualizacje oprogramowania: osoby atakujące mogą naruszyć legalne mechanizmy aktualizacji oprogramowania i rozpowszechniać fałszywe aktualizacje zawierające ransomware. Gdy użytkownicy nieświadomie instalują te aktualizacje, oprogramowanie ransomware jest instalowane w ich systemach.
