CursoDFIR Ransomware indeholder løsepengenotat på portugisisk

Mens vi undersøgte nye malware-prøver, stødte vi på cursoDFIR, en type ransomware designet til at kryptere filer. Desuden tilføjer cursoDFIR sin udvidelse (".cursoDFIR") til filnavne, ændrer skrivebordsbaggrunden og genererer et tekstdokument ("meleaicara.txt"), der indeholder en løsesum-meddelelse.

En illustration af, hvordan cursoDFIR omdøber krypterede filer: "1.jpg" bliver til "1.jpg.cursoDFIR", "2.png" omdannes til "2.png.cursoDFIR" og så videre. Denne løsesum-meddelelse, skrevet på portugisisk, kræver betaling til gengæld for at dekryptere de filer, som cursoDFIR har låst. Den anklager offeret for at forsøge at downloade piratkopieret Microsoft-software og foreskriver betaling i digital valuta for at få dekrypteringsnøglen.

Det er vigtigt at fremhæve, at denne løsesum-besked mangler nogen kontaktoplysninger, hvilket afviger fra normen for krav om ransomware. Typisk indeholder sådanne meddelelser instruktioner til ofre om at kontakte cyberkriminelle for at diskutere løsesumsbetalingen og få dekrypteringshjælp.

cursoDFIR Ransom Note komponeret på portugisisk

Den fulde tekst af den meget korte løsesumseddel genereret af cursoDFIR lyder som følger:

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

Hvordan kan Ransomware inficere din computer?

Ransomware kan inficere din computer gennem forskellige metoder, herunder:

Phishing-e-mails: En af de mest almindelige metoder er gennem phishing-e-mails. Cyberkriminelle sender vildledende e-mails, der indeholder ondsindede vedhæftede filer eller links. Når intetanende brugere åbner disse vedhæftede filer eller klikker på linkene, downloades ransomwaren og udføres på deres systemer.

Ondsindede websteder: Besøg af kompromitterede eller ondsindede websteder kan også føre til ransomware-infektioner. Disse websteder kan indeholde udnyttelsessæt, der automatisk downloader og installerer ransomware på besøgendes computere ved at udnytte sårbarheder i deres browsere eller plugins.

Drive-By-downloads: I lighed med ondsindede websteder kan ransomware downloades til din computer uden din viden gennem drive-by-downloads. Disse downloads finder sted, når du besøger et lovligt websted, der er blevet kompromitteret, og malware downloades automatisk og installeres på dit system i baggrunden.

Sårbar software: Ransomware kan udnytte sårbarheder i software installeret på din computer, såsom operativsystemer, webbrowsere eller plugins. Cyberkriminelle udnytter disse sårbarheder til at få uautoriseret adgang til dit system og implementere ransomware.

Ondsindede annoncer (malvertising): Ransomware kan også distribueres gennem ondsindede annoncer, der vises på legitime websteder. Hvis du klikker på disse annoncer, kan det føre til automatisk download og installation af ransomware på din computer.