IRIS Ransomware krypterer data
Under vår undersøkelse av nye filprøver, kom forskerteamet vårt over en skadelig programvare kalt IRIS, som er avledet fra Chaos-ransomware. IRIS opererer ved å kryptere filer og deretter kreve betaling for dekrypteringen.
I vårt testmiljø låste denne løsepengevaren effektivt filer og la til en utvidelse på fire tegn til filnavnene deres. For eksempel vil en fil opprinnelig kalt "1.jpg" vises som "1.jpg.582m" etter kryptering, mens "2.png" vil bli "2.png.2n02", og så videre for alle berørte filer. Etter denne krypteringsprosessen endret IRIS skrivebordsbakgrunnen og etterlot seg en løsepenge med navnet "read_it.txt".
Meldingen formidlet av IRIS forklarer at offerets filer er kryptert og at gjenoppretting av dem krever å betale løsepenger på $350, som betales i XMR (Monero cryptocurrency). I tillegg advarer notatet om at sensitive data som tilhører offeret, for eksempel nettleserhistorikk og personlig identifiserbar informasjon, har blitt skrapet og stjålet. Følgelig anses formatering av enheten som ineffektiv som en løsning, ettersom angriperne truer med å avsløre det stjålne innholdet hvis betaling ikke mottas.
IRIS løsepenger krever $350
Den fullstendige teksten til løsepengene produsert av IRIS lyder som følger:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Hvordan kan ransomware komme inn i systemet ditt?
Ransomware kan infiltrere systemet ditt på forskjellige måter, inkludert:
Phishing-e-poster: En vanlig metode er gjennom ondsinnede e-poster som inneholder vedlegg eller lenker som, når de klikkes, utfører løsepengeprogramvare. Disse e-postene maskerer seg ofte som legitim kommunikasjon fra pålitelige kilder, og lokker brukere til å åpne dem.
Ondsinnede nettsteder: Å besøke kompromitterte eller ondsinnede nettsteder kan utsette systemet ditt for løsepengeprogramvare. Disse nettstedene kan utnytte sårbarheter i nettleseren din eller plugins for å laste ned og kjøre løsepengevare uten at du vet det.
Malvertising: Ondsinnede annonser, kjent som malvertising, kan levere løsepengelaster når de klikkes. Disse annonsene kan vises på legitime nettsteder og utnytte sårbarheter i annonsenettverk for å distribuere skadelig programvare.
Utnyttelse av sårbarheter: Ransomware kan utnytte uopprettet programvaresårbarheter i operativsystemet eller installerte applikasjoner. Angripere kan bruke utnyttelsessett, som er pakker med kode designet for å automatisere utnyttelsen av kjente sårbarheter, for å levere løsepengelaster.
Remote Desktop Protocol (RDP)-angrep: Angripere kan utnytte svak eller standard påloggingsinformasjon på Remote Desktop Protocol (RDP)-tjenester for å få uautorisert tilgang til systemet ditt. Når de er inne, kan de distribuere løsepengevare og kryptere filer.
Drive-by-nedlastinger: Ransomware kan også leveres gjennom drive-by-nedlastinger, der malware automatisk lastes ned og kjøres når du besøker et kompromittert eller skadelig nettsted.
