IRIS Ransomware krypterer data
Under vores undersøgelse af nye filprøver stødte vores forskerhold på en skadelig software kaldet IRIS, som er afledt af Chaos ransomware. IRIS opererer ved at kryptere filer og derefter kræve betaling for deres dekryptering.
I vores testmiljø låste denne ransomware effektivt filer og tilføjede en udvidelse på fire tegn til deres filnavne. For eksempel vil en fil, der oprindeligt hedder "1.jpg" vises som "1.jpg.582m" efter kryptering, mens "2.png" bliver til "2.png.2n02" og så videre for alle berørte filer. Efter denne krypteringsproces ændrede IRIS skrivebordsbaggrunden og efterlod en løsesum med navnet "read_it.txt".
Beskeden formidlet af IRIS forklarer, at ofrets filer er blevet krypteret, og at hentning af dem kræver, at der betales en løsesum på $350, der betales i XMR (Monero cryptocurrency). Derudover advarer notatet om, at følsomme data, der tilhører offeret, såsom browserhistorik og personligt identificerbare oplysninger er blevet skrabet og stjålet. Følgelig anses formatering af enheden for at være ineffektiv som en løsning, da angriberne truer med at afsløre det stjålne indhold, hvis betaling ikke modtages.
IRIS løsesumseddel kræver $350
Den fulde ordlyd af løsesumsedlen produceret af IRIS lyder som følger:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Hvordan kan ransomware komme ind i dit system?
Ransomware kan infiltrere dit system på forskellige måder, herunder:
Phishing-e-mails: En almindelig metode er gennem ondsindede e-mails, der indeholder vedhæftede filer eller links, der, når der klikkes på dem, udfører ransomware-nyttelasten. Disse e-mails udgiver sig ofte som legitim kommunikation fra betroede kilder, hvilket lokker brugerne til at åbne dem.
Ondsindede websteder: Besøg på kompromitterede eller ondsindede websteder kan udsætte dit system for ransomware. Disse websteder kan udnytte sårbarheder i din browser eller plugins til at downloade og udføre ransomware uden din viden.
Malvertising: Ondsindede annoncer, kendt som malvertising, kan levere ransomware-nyttelast, når der klikkes på dem. Disse annoncer kan blive vist på legitime websteder og udnytte sårbarheder i reklamenetværk til at distribuere malware.
Udnyttelse af sårbarheder: Ransomware kan udnytte uopdaterede softwaresårbarheder i dit operativsystem eller installerede applikationer. Angribere kan bruge udnyttelsessæt, som er kodepakker designet til at automatisere udnyttelsen af kendte sårbarheder, til at levere ransomware-nyttelast.
Remote Desktop Protocol (RDP)-angreb: Angribere kan udnytte svage eller standardlegitimationsoplysninger på Remote Desktop Protocol (RDP)-tjenester for at få uautoriseret adgang til dit system. Når de først er inde, kan de implementere ransomware og kryptere filer.
Drive-by-downloads: Ransomware kan også leveres gennem drive-by-downloads, hvor malware automatisk downloades og udføres, når du besøger et kompromitteret eller ondsindet websted.
