Az IRIS Ransomware titkosítja az adatokat
Az új fájlminták vizsgálata során kutatócsoportunk az IRIS nevű káros szoftverre bukkant, amely a Chaos ransomware-ből származik. Az IRIS úgy működik, hogy titkosítja a fájlokat, majd fizetést követel azok visszafejtéséért.
Tesztkörnyezetünkben ez a zsarolóprogram hatékonyan zárolta a fájlokat, és négy karakteres kiterjesztést adott a fájlnevükhöz. Például az eredetileg "1.jpg" nevű fájl a titkosítás után "1.jpg.582m" néven jelenik meg, míg a "2.png" "2.png.2n02" lesz, és így tovább minden érintett fájl esetében. Ezt a titkosítási folyamatot követően az IRIS megváltoztatta az asztal háttérképét, és egy „read_it.txt” nevű váltságdíjat hagyott hátra.
Az IRIS által közvetített üzenet kifejti, hogy az áldozat fájljait titkosították, és a visszakeresésükhöz 350 dollár váltságdíjat kell fizetni, amelyet XMR-ben (Monero kriptovaluta) kell fizetni. Ezenkívül a feljegyzés arra figyelmeztet, hogy az áldozathoz tartozó érzékeny adatokat, például böngészési előzményeket és személyazonosításra alkalmas információkat lekapartak és elloptak. Ebből következően a készülék formázása eredménytelennek minősül, mivel a támadók azzal fenyegetőznek, hogy az ellopott tartalmat nyilvánosságra hozzák, ha a fizetés nem érkezik meg.
Az IRIS Ransom Note 350 dollárt követel
Az IRIS által készített váltságdíj teljes szövege a következő:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Hogyan léphet be a Ransomware a rendszerébe?
A zsarolóvírusok különféle módon behatolhatnak a rendszerébe, többek között:
Adathalász e-mailek: Az egyik gyakori módszer a rosszindulatú e-mailek, amelyek mellékleteket vagy linkeket tartalmaznak, amelyekre kattintáskor végrehajtják a zsarolóvírus-terhelést. Ezek az e-mailek gyakran megbízható forrásból származó legitim kommunikációnak álcázzák magukat, és arra csábítják a felhasználókat, hogy nyissanak meg.
Rosszindulatú webhelyek: Ha feltört vagy rosszindulatú webhelyeket keres fel, rendszere ki van téve a zsarolóprogramoknak. Ezek a webhelyek kihasználhatják a böngésző vagy a beépülő modulok biztonsági réseit, hogy az Ön tudta nélkül töltsenek le és hajtsanak végre zsarolóprogramokat.
Rosszindulatú hirdetések: A rosszindulatú hirdetések, amelyeket rosszindulatú hirdetéseknek neveznek, kattintáskor zsarolóprogramokat szállíthatnak. Ezek a hirdetések legitim webhelyeken jelenhetnek meg, és kihasználják a hirdetési hálózatok sebezhetőségeit rosszindulatú programok terjesztésére.
A sebezhetőségek kihasználása: A Ransomware kihasználhatja az operációs rendszer vagy a telepített alkalmazások kijavítatlan szoftversebezhetőségeit. A támadók exploit kiteket használhatnak, amelyek olyan kódcsomagok, amelyeket az ismert sebezhetőségek kihasználásának automatizálására terveztek, hogy zsarolóprogramokat szállítsanak.
Távoli asztali protokoll (RDP) támadások: A támadók kihasználhatják a távoli asztali protokoll (RDP) szolgáltatások gyenge vagy alapértelmezett hitelesítő adatait, hogy illetéktelenül hozzáférhessenek a rendszerhez. Miután bejutottak, telepíthetnek zsarolóvírust és titkosíthatják a fájlokat.
Drive-by Downloads: A zsarolóprogramok indítási letöltésekkel is szállíthatók, ahol a rosszindulatú programok automatikusan letöltődnek és végrehajtódnak, amikor feltört vagy rosszindulatú webhelyet látogatnak meg.
