Capibara Ransomware låser inficerede computere

Under en gennemgang af nye filprøver opdagede vores forskerhold Capibara ransomware. Denne ondsindede software fungerer ved at kryptere filer for at kræve løsesumsbetalinger.

Efter at have erhvervet en prøve af denne malware, kørte vi den på vores testsystem. Vi har observeret, at filer, der er krypteret med denne ransomware, har deres filnavne ændret med en ".capibara"-udvidelse. For eksempel vil en fil med navnet "1.jpg" blive vist som "1.jpg.capibara" og "2.png" som "2.png.capibara" og så videre.

Efter afslutningen af krypteringsprocessen ændrede Capibara skrivebordsbaggrunden og genererede en tekstfil med navnet "READ_ME_USER.txt" indeholdende en løsesumseddel på russisk. Notatet fortæller offeret, at deres filer er blevet krypteret og nu er ulæselige, og understreger, at genopretning er umulig uden involvering af angriberne.

Offeret bliver bedt om at købe et dekrypteringsværktøj til 5000 russiske rubler ved hjælp af Bitcoin. Men løsesummen angivet i Bitcoins - 0,073766 BTC - stemmer ikke overens med rubelsummen ved den aktuelle valutakurs i betragtning af de løbende udsving i kurserne.

Capibara Ransom Note kommer kun på russisk

Den fulde tekst af Capibaras løsesumseddel lyder som følger:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Hvordan kan Ransomware inficere din hjemmecomputer?

Ransomware kan inficere din hjemmecomputer på forskellige måder, herunder:

Phishing-e-mails: Angribere sender vildledende e-mails, der indeholder ondsindede links eller vedhæftede filer. Ved at klikke på disse links eller åbne inficerede vedhæftede filer kan du downloade og installere ransomware på din computer.

Ondsindede websteder: Besøg på kompromitterede eller ondsindede websteder kan udsætte din computer for drive-by downloads, hvor ransomware automatisk downloades og installeres uden din viden.

Softwaresårbarheder: Forældet software, især operativsystemer og applikationer, kan have sikkerhedssårbarheder, som ransomware udnytter til at få adgang til din computer.

Unsecure Remote Desktop Protocol (RDP): Hvis du bruger RDP til at oprette fjernforbindelse til din hjemmecomputer, og den ikke er ordentligt sikret (f.eks. ved hjælp af svage adgangskoder), kan angribere udnytte dette til at få adgang og implementere ransomware.

Inficerede USB-drev: Tilslutning af inficerede USB-drev eller andre eksterne lagerenheder kan introducere ransomware på din computer.

Freeware eller piratkopieret software: At downloade software fra upålidelige kilder eller bruge piratkopieret software øger risikoen for at downloade ransomware sammen med det.

Udnyttelse af netværkssårbarheder: Ransomware kan spredes over et hjemmenetværk, hvis en computer bliver inficeret, og malwaren får adgang til delte drev eller andre netværkstilsluttede enheder.