"Ett enda spjutfiske-e-postmeddelande med en något förändrad skadlig programvara kan kringgå företagssäkerhetslösningar för flera miljoner dollar om en motståndare lurar en cyberhygieniskt apatisk anställd att öppna bilagan eller klicka på en skadlig länk och därigenom äventyra hela nätverket .”
James Scott, Senior Fellow, Institute for Critical Infrastructure Technology
Förra veckan riktade sig ett Ransomware-program som heter Defray till en utvald grupp av elitorganisationer som krävde $5 000 vid infektion. Det är en filkodartrojan skriven i C++ som använder avancerad kryptografisk algoritm.
Måste läsa: Various Ways To Protect Your PC Against Ransomware
Namnet Defray är baserad på kommando-och-kontrollservervärden i den första spårade attacken: 'defrayable-listings'.
Det är också känt under ett annat namn Glushkov Ransomware. Namnet kan användas som en referens till e-postkonton '[email protected], 'glushkov®tutanota.de' och '[email protected]' som används för att sprida hotet och som används för att kontakta hackaren.
Den distribuerade två små och selektiva attacker och anses vara ett stort kryptohot. hotet liknas vid Petya- och WannaCry-stammarna.
Enligt rapporter riktar hotet sig mest mot sjukhus och utbildningsinstitutioners nätverk och krypterar data.
De första attackerna var inriktade på hälso- och sjukvårds- och utbildningsorganisation, medan de andra riktade in sig på tillverknings- och teknikinstitutioner.
Hur sprids det?
Img src: gbhackers
Installationsprogrammet som används för att sprida skadlig programvara använder ett Word-dokument som innehåller ett inbäddat körbart videoklipp (O LE-paketeringsskalobjekt).
När mottagaren försöker spela upp det inbäddade video, som är en bild, Defray Ransomware installeras och aktiveras. Efter installationen börjar den kryptera data och visar sedan en lösennota, som förklarar att du måste betala lösensumma för att återfå åtkomst.
Nätfiske-e-post och riktade nätfiske-e-postmeddelanden används för att locka kontorsanställda och de tvingas sedan att läs det infekterade dokumentet. E-postmeddelanden riktas till individer eller grupper och består av meddelanden som är speciellt utformade för att locka till sig måltavlan.
Första gången kampanjen ägde rum den 15 augusti riktad mot tillverknings- och teknikproffs. I fortsättningen den 22 augusti kom ytterligare en kampanj s lanserade och falska mail skickades till vård- och utbildningsorganisationer. Det här e-postmeddelandet innehöll patientrapport från en förmodad chef för informationshantering och teknologi på ett sjukhus.
Img src: Proofpoint
Dessa falska e-postmeddelanden ger en öppen inbjudan till skadlig programvara och den installeras på maskiner. Det är som att välkomna en vampyr in i ditt hus och sedan låta honom få ditt blod.
Måste läsa: Göra och inte göra när du hanterar ransomware
Efter allt detta dyker en lösennota upp på ditt skrivbord, offret ombeds att betala $5 000 i form av Bitcoins.
Lösennotan finns i två filer som heter 'Files.TXT' och 'HELP'. TXXR' och den avslutar:
“Detta är specialutvecklat ransomware, dekrypteringsprogrammet kommer inte att göras av ett antivirusföretag. Den här har inte ens ett namn. Den använder AES-256 för att kryptera filer, RSA-2048 för att lagra krypterade AES-256-lösenord och SHA-2 för att behålla den krypterade filens integritet. Den är skriven i C++ och har klarat många kvalitetssäkringstest. För att förhindra detta nästa gång, använd offline-säkerhetskopior.”
Källa: tripwire
Defray Ransomware kryptera filer med följande tillägg:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, . , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet .win, .xls, .xlsm, .xlsx, .zip.
Källa: enigmasoftware
Nästa läsning: Locky Ransomware 'Tillbaka från de döda'
Alla dessa ransomware-attacker är ett larm för att förbli skyddad och medveten. Vi bör undvika att öppna e-postmeddelanden från anonyma källor och sådana som vi inte är säkra på. Vi ska inte öppna alla bilagor som vi får i ett e-postmeddelande. Även ur säkerhetssynpunkt bör ett uppdaterat antivirus installeras på din m maskin.
Läs: 0
