A Capibara Ransomware zárolja a fertőzött számítógépeket

Az új fájlminták áttekintése során kutatócsoportunk felfedezte a Capibara ransomware-t. Ez a rosszindulatú szoftver a fájlok titkosításával működik, hogy váltságdíjat követeljen.

Miután megszereztük a rosszindulatú program mintáját, futtattuk a tesztrendszerünkön. Megfigyeltük, hogy az ezzel a zsarolóvírussal titkosított fájlok fájlnevét „.capibara” kiterjesztéssel módosították. Például egy „1.jpg” nevű fájl „1.jpg.capibara”-ként, a „2.png” pedig „2.png.capibara”-ként és így tovább.

A titkosítási folyamat befejeztével a Capibara megváltoztatta az asztal hátterét, és létrehozta a "READ_ME_USER.txt" nevű szöveges fájlt, amely orosz nyelvű váltságdíjat tartalmazott. A feljegyzés azt mondja az áldozatnak, hogy fájljaikat összekódolták, így már olvashatatlanok, és hangsúlyozza, hogy a helyreállítás lehetetlen a támadók bevonása nélkül.

Az áldozatot utasítják, hogy vásároljon egy visszafejtő eszközt 5000 orosz rubelért Bitcoin használatával. Azonban a bitcoinokban meghatározott váltságdíj összege - 0,073766 BTC - nem igazodik a rubel összegéhez a jelenlegi árfolyamon, figyelembe véve az árfolyamok folyamatos ingadozásait.

A Capibara Ransom Note csak orosz nyelven érkezik

A Capibara váltságdíj teljes szövege a következő:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Hogyan fertőzheti meg a Ransomware az otthoni számítógépét?

A zsarolóvírusok különféle módon megfertőzhetik otthoni számítógépét, többek között:

Adathalász e-mailek: A támadók megtévesztő e-maileket küldenek, amelyek rosszindulatú hivatkozásokat vagy mellékleteket tartalmaznak. Ha ezekre a hivatkozásokra kattint, vagy megnyitja a fertőzött mellékleteket, letöltheti és telepítheti a ransomware-t a számítógépére.

Rosszindulatú webhelyek: Ha feltört vagy rosszindulatú webhelyeket keres fel, számítógépe automatikusan letöltésre kerül, ahol a zsarolóprogramok az Ön tudta nélkül automatikusan letöltődnek és települnek.

Szoftver sebezhetősége: Az elavult szoftverek, különösen az operációs rendszerek és alkalmazások olyan biztonsági réseket tartalmazhatnak, amelyeket a zsarolóprogramok kihasználnak, hogy hozzáférjenek a számítógépéhez.

Nem biztonságos távoli asztali protokoll (RDP): Ha az RDP segítségével távolról csatlakozik otthoni számítógépéhez, és az nincs megfelelően védett (pl. gyenge jelszavak használatával), a támadók ezt kihasználva hozzáférést szerezhetnek és zsarolóvírust telepíthetnek.

Fertőzött USB-meghajtók: A fertőzött USB-meghajtók vagy más külső tárolóeszközök csatlakoztatása zsarolóvírust juttathat a számítógépére.

Ingyenes vagy kalózszoftver: Nem megbízható forrásból származó szoftverek letöltése vagy kalózszoftverek használata növeli a zsarolóprogramok letöltésének kockázatát.

Hálózati sebezhetőségek kihasználása: A zsarolóvírus az otthoni hálózaton keresztül terjedhet, ha az egyik számítógép megfertőződik, és a rosszindulatú program hozzáfér a megosztott meghajtókhoz vagy más, hálózatra csatlakoztatott eszközökhöz.