IRIS Ransomware szyfruje dane
Podczas badania nowych próbek plików nasz zespół badawczy natknął się na szkodliwe oprogramowanie o nazwie IRIS, które wywodzi się z oprogramowania ransomware Chaos. IRIS działa w oparciu o szyfrowanie plików, a następnie żądanie zapłaty za ich odszyfrowanie.
W naszym środowisku testowym to oprogramowanie ransomware skutecznie blokowało pliki i dodało czteroznakowe rozszerzenie do ich nazw. Na przykład plik pierwotnie nazwany „1.jpg” po zaszyfrowaniu będzie wyświetlany jako „1.jpg.582m”, podczas gdy „2.png” zmieni się na „2.png.2n02” i tak dalej w przypadku wszystkich plików, których to dotyczy. Po procesie szyfrowania IRIS zmieniła tapetę pulpitu i pozostawiła notatkę z żądaniem okupu o nazwie „read_it.txt”.
Wiadomość przekazana przez IRIS wyjaśnia, że pliki ofiary zostały zaszyfrowane i ich odzyskanie wymaga zapłaty okupu w wysokości 350 dolarów, płatnego w XMR (kryptowaluta Monero). Ponadto notatka ostrzega, że wrażliwe dane należące do ofiary, takie jak historia przeglądania i dane osobowe, zostały wykradzione i skradzione. W związku z tym formatowanie urządzenia uznaje się za nieskuteczne, ponieważ napastnicy grożą ujawnieniem skradzionej zawartości w przypadku nieotrzymania płatności.
IRIS żąda okupu w wysokości 350 dolarów
Pełny tekst żądania okupu sporządzonego przez IRIS brzmi następująco:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
W jaki sposób oprogramowanie ransomware może dostać się do Twojego systemu?
Ransomware może przeniknąć do Twojego systemu na różne sposoby, w tym:
Wiadomości e-mail phishingowe: Jedną z powszechnych metod są złośliwe wiadomości e-mail zawierające załączniki lub łącza, których kliknięcie powoduje wykonanie ładunku ransomware. Te e-maile często udają legalną komunikację z zaufanych źródeł, zachęcając użytkowników do ich otwarcia.
Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić system na oprogramowanie ransomware. Witryny te mogą wykorzystywać luki w zabezpieczeniach Twojej przeglądarki lub wtyczek, aby pobierać i uruchamiać oprogramowanie ransomware bez Twojej wiedzy.
Złośliwe reklamy: złośliwe reklamy, zwane złośliwymi reklamami, po kliknięciu mogą dostarczać oprogramowanie ransomware. Reklamy te mogą pojawiać się na legalnych stronach internetowych i wykorzystywać luki w zabezpieczeniach sieci reklamowych do dystrybucji złośliwego oprogramowania.
Wykorzystywanie luk w zabezpieczeniach: Ransomware może wykorzystywać niezałatane luki w zabezpieczeniach oprogramowania w systemie operacyjnym lub zainstalowanych aplikacjach. Atakujący mogą wykorzystywać zestawy exploitów, czyli pakiety kodu zaprojektowane w celu automatyzacji wykorzystywania znanych luk w zabezpieczeniach, w celu dostarczania oprogramowania ransomware.
Ataki na protokół Remote Desktop Protocol (RDP): osoby atakujące mogą wykorzystać słabe lub domyślne poświadczenia w usługach protokołu Remote Desktop Protocol (RDP), aby uzyskać nieautoryzowany dostęp do systemu. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware i szyfrować pliki.
Pobieranie dyskowe: oprogramowanie ransomware może być również dostarczane poprzez pobieranie dyskowe, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i uruchamiane podczas odwiedzania zainfekowanej lub złośliwej witryny internetowej.
