SchrodingerCat Ransomware exige resgate BTC

Durante uma inspeção de rotina de novos arquivos, nossa equipe de pesquisa se deparou com o ransomware SchrodingerCat, uma variante da família de ransomware GlobeImposter. SchrodingerCat criptografa dados e exige pagamento pela descriptografia.

Após o teste, observámos que este ransomware encripta ficheiros e acrescenta uma extensão ".schrodingercat" aos seus nomes. Por exemplo, um arquivo chamado “1.jpg” se tornaria “1.jpg.schrodingercat” após a criptografia e assim por diante.

Após a encriptação, o SchrodingerCat gera uma nota de resgate chamada "how_to_back_files.html", indicando que tem como alvo organizações e não utilizadores individuais. A nota afirma que a rede corporativa da vítima foi comprometida, resultando na criptografia dos arquivos armazenados.

Para recuperar o acesso aos dados criptografados, a vítima deve adquirir um descriptografador, ao preço de 0,15 BTC, o que equivale a aproximadamente dez mil dólares no momento da redação. A nota desaconselha o envolvimento de intermediários e incentiva a negociação direta com os invasores.

A recusa em pagar o resgate acarreta a ameaça de os cibercriminosos leiloarem ou vazarem dados confidenciais roubados da rede. Além disso, os criminosos podem entrar em contato com os clientes da vítima, oferecendo-se para vender as informações comprometidas.

Os autores do SchrodingerCat se consideram uma empresa

O texto completo da nota de resgate do SchrodingerCat contém muito texto e os hackers se referem a si mesmos como "Nacugunder Corporation". O texto completo é o seguinte:

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

Como o ransomware como o SchrodingerCat é distribuído?

Ransomware como o SchrodingerCat é normalmente distribuído por meio de vários métodos, incluindo:

E-mails de phishing: os cibercriminosos costumam distribuir ransomware por meio de e-mails de phishing contendo anexos ou links maliciosos. Esses e-mails podem parecer legítimos, enganando os usuários para que abram o anexo ou cliquem no link, o que instala o ransomware no sistema da vítima.

Malvertising: Anúncios maliciosos (malvertising) em sites podem redirecionar os usuários para sites que hospedam kits de exploração que distribuem ransomware. Esses anúncios podem aparecer em sites legítimos e explorar vulnerabilidades no navegador ou plug-ins do usuário para instalar o ransomware silenciosamente.

Kits de exploração: kits de exploração são pacotes de código malicioso projetados para tirar vantagem de vulnerabilidades de software. Os cibercriminosos usam kits de exploração para infectar usuários que visitam sites comprometidos, explorando vulnerabilidades em seus navegadores ou plug-ins para entregar e executar ransomware em seus sistemas.

Ataques de protocolo de área de trabalho remota (RDP): os invasores podem explorar credenciais fracas ou padrão para serviços de área de trabalho remota, como RDP, para obter acesso não autorizado a um sistema. Uma vez lá dentro, eles podem implantar o ransomware diretamente na rede da vítima.

Downloads drive-by: Os downloads drive-by ocorrem quando o ransomware é automaticamente baixado e instalado no sistema de um usuário sem seu consentimento ao visitar um site comprometido ou malicioso. Isso geralmente explora vulnerabilidades no navegador ou nos plug-ins do usuário.

Software ou arquivos infectados: os cibercriminosos podem distribuir ransomware disfarçando-o como software ou arquivos legítimos disponíveis para download na Internet. Usuários desavisados baixam e executam esses arquivos, instalando inadvertidamente o ransomware em seus sistemas.

USB e mídia removível: O ransomware pode se espalhar através de unidades USB infectadas ou outras mídias removíveis. Quando os usuários inserem uma unidade USB infectada em seus computadores, o ransomware pode ser executado automaticamente e infectar o sistema.

Para se protegerem contra ataques de ransomware, os usuários devem praticar uma boa higiene de segurança cibernética, incluindo atualização regular de software, uso de software antivírus confiável, cautela com anexos e links de e-mail e backup regular de dados importantes.