IRIS Ransomware užšifruoja duomenis
Nagrinėdami naujus failų pavyzdžius, mūsų tyrimų grupė aptiko kenksmingą programinę įrangą, vadinamą IRIS, kuri yra sukurta iš Chaos ransomware. IRIS veikia šifruodama failus ir reikalaudama sumokėti už jų iššifravimą.
Mūsų testavimo aplinkoje ši išpirkos reikalaujanti programa veiksmingai užrakino failus ir prie jų failų pavadinimų pridėjo keturių simbolių plėtinį. Pavyzdžiui, failas iš pradžių pavadintas „1.jpg“ po šifravimo būtų rodomas kaip „1.jpg.582m“, o „2.png“ taptų „2.png.2n02“ ir t. t. visiems paveiktiems failams. Po šio šifravimo proceso IRIS pakeitė darbalaukio foną ir paliko išpirkos raštelį pavadinimu „read_it.txt“.
IRIS perduotoje žinutėje paaiškinama, kad aukos failai buvo užšifruoti ir norint juos atkurti, reikia sumokėti 350 USD išpirką, kurią reikia sumokėti XMR (Monero kriptovaliuta). Be to, pastaboje įspėjama, kad aukai priklausantys jautrūs duomenys, pvz., naršymo istorija ir asmenį identifikuojanti informacija, buvo iškrapštyti ir pavogti. Todėl įrenginio formatavimas laikomas neveiksmingu sprendimu, nes užpuolikai grasina atskleisti pavogtą turinį, jei nebus gautas mokėjimas.
IRIS Ransom Note reikalauja 350 USD
Visas IRIS parengto išpirkos rašto tekstas skamba taip:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Kaip Ransomware gali patekti į jūsų sistemą?
Ransomware gali įsiskverbti į jūsų sistemą įvairiomis priemonėmis, įskaitant:
Sukčiavimo el. laiškai: vienas įprastas būdas yra kenkėjiški el. laiškai, kuriuose yra priedų arba nuorodų, kurias spustelėjus paleidžiama išpirkos reikalaujančių programų apkrova. Šie el. laiškai dažnai vaizduojami kaip teisėti pranešimai iš patikimų šaltinių, viliojantys vartotojus juos atidaryti.
Kenkėjiškos svetainės: lankantis pažeistose arba kenkėjiškose svetainėse, jūsų sistemoje gali atsirasti išpirkos reikalaujančių programų. Šios svetainės gali išnaudoti jūsų naršyklės pažeidžiamumą arba papildinius, kad atsisiųstų ir paleistų išpirkos reikalaujančią programinę įrangą be jūsų žinios.
Kenkėjiška reklama: kenkėjiškos reklamos, vadinamos kenkėjiška reklama, spustelėjus gali pateikti išpirkos reikalaujančių programų naudingąsias apkrovas. Šie skelbimai gali būti rodomi teisėtose svetainėse ir išnaudoja reklamos tinklų spragas, kad platintų kenkėjiškas programas.
Pažeidžiamumų išnaudojimas: Ransomware gali išnaudoti nepataisytas programinės įrangos spragas jūsų operacinėje sistemoje arba įdiegtose programose. Užpuolikai gali naudoti išnaudojimo rinkinius, kurie yra kodo paketai, skirti automatizuoti žinomų pažeidžiamumų išnaudojimą, kad pateiktų išpirkos reikalaujančių programų naudingąsias apkrovas.
Nuotolinio darbalaukio protokolo (RDP) atakos: užpuolikai gali išnaudoti silpnus arba numatytuosius nuotolinio darbalaukio protokolo (RDP) paslaugų kredencialus, kad gautų neteisėtą prieigą prie jūsų sistemos. Patekę į vidų, jie gali įdiegti išpirkos reikalaujančią programinę įrangą ir užšifruoti failus.
Atsisiuntimai pagal vairuotoją: Ransomware taip pat gali būti pristatytas naudojant tiesioginius atsisiuntimus, kai kenkėjiška programa automatiškai atsisiunčiama ir vykdoma apsilankius pažeistoje ar kenkėjiškoje svetainėje.
