Udaigen Ransomware будет шифровать файлы жертв

Во время расследования новых отправленных файлов наша команда сделала интересное открытие — вариант программы-вымогателя под названием Udaigen. Эта вредоносная программа шифрует файлы, а затем требует выкуп в обмен на ключ дешифрования.

При тестировании Udaigen на указанном нами компьютере мы заметили, что он шифрует файлы и изменяет их имена, добавляя расширение «.jcrypt». Например, файл с именем «1.jpg» превратился в «1.jpg.jcrypt», а «2.png» стал «2.png.jcrypt» и так далее. После завершения процесса шифрования программа-вымогатель представила всплывающее окно вместе с текстовым файлом с именем «_RECOVER__FILES.jcrypt.txt».

И всплывающее сообщение, и текстовый файл содержали примечания о выкупе, содержащие аналогичную информацию. Сообщения информировали жертву о том, что их файлы были зашифрованы, и содержали инструкции по облегчению процесса расшифровки. Жертве было приказано перевести платеж в размере 2 BTC (криптовалюта биткойн), чтобы получить необходимый ключ дешифрования. На момент написания статьи эта сумма равнялась примерно 57 тысячам долларов США. Стоит отметить, что обменные курсы подвержены частым колебаниям, поэтому в настоящее время конвертация может быть не совсем точной.

Записка о выкупе Udaigen перечисляет зашифрованные файлы

Полный текст записки о выкупе Удайгена гласит:

Все ваши файлы были зашифрованы.

Чтобы разблокировать их, отправьте 2 биткойна на адрес BTC: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv.
После этого отправьте идентификатор транзакции по электронной почте на адрес: udai@membermail.net.

Если вы будете немного ленивы, ваши файлы не вернутся.

Журнал шифрования:
(список файлов)

Как программы-вымогатели, такие как Udaigen, могут попасть на ваш компьютер?

Существует несколько способов, с помощью которых программы-вымогатели, такие как Udaigen, могут заразить ваш компьютер. Вот несколько распространенных методов:

• Вложения электронной почты: программы-вымогатели могут распространяться через вредоносные вложения электронной почты. Киберпреступники часто отправляют фишинговые электронные письма, замаскированные под законные сообщения из надежных источников. Эти электронные письма могут содержать зараженные вложения, такие как документы или сжатые файлы, которые при открытии запускают программу-вымогатель на вашем компьютере.
• Зараженные веб-сайты и загрузки. Посещение скомпрометированных или вредоносных веб-сайтов может подвергнуть ваш компьютер воздействию программ-вымогателей. Киберпреступники могут внедрять вредоносный код на веб-сайты, которые могут использовать уязвимости в вашем веб-браузере или плагинах для скрытой загрузки и установки программ-вымогателей в вашей системе. Незаконные загрузки из ненадежных источников также могут содержать программы-вымогатели.
• Вредоносные ссылки и реклама. Нажатие на вредоносные ссылки или рекламу может привести к заражению программами-вымогателями. Эти ссылки можно найти в электронных письмах, на платформах социальных сетей или даже на законных веб-сайтах. После нажатия они могут перенаправить вас на веб-сайты, на которых размещены программы-вымогатели, или инициировать загрузку с диска, автоматически устанавливая программы-вымогатели на ваш компьютер без вашего ведома.
• Использование уязвимостей программного обеспечения. Разработчики программ-вымогателей часто пользуются уязвимостями безопасности в операционных системах, программных приложениях или подключаемых модулях. Используя эти уязвимости, они могут получить несанкционированный доступ к вашему компьютеру и развернуть программу-вымогатель.
• Атаки по протоколу удаленного рабочего стола (RDP): если вы включили удаленный рабочий стол на своем компьютере без надлежащих мер безопасности, киберпреступники могут использовать слабые учетные данные или учетные данные по умолчанию для получения доступа к вашей системе. Оказавшись внутри, они могут установить программу-вымогатель или другое вредоносное ПО.
• Обновления вредоносного программного обеспечения. Злоумышленники могут скомпрометировать законные механизмы обновления программного обеспечения и распространять поддельные обновления, содержащие программы-вымогатели. Когда пользователи неосознанно устанавливают эти обновления, программа-вымогатель развертывается в их системах.