A Rajah Ransomware Bitcoin Ransom-ot kér

Az új beküldött fájlok elemzése során kutatócsoportunk ráakadt a Rajah ransomware-re, amely a Makop ransomware családhoz tartozó rosszindulatú program. A rosszindulatú programok e speciális típusát az adatok titkosítására és a visszafejtésért cserébe fizetés kikényszerítésére tervezték.

A Rajah ransomware rendszerünkön való tesztelése során azt tapasztaltuk, hogy titkosítja a fájlokat és módosítja a címüket azáltal, hogy hozzáfűzi az egyes áldozatokhoz rendelt külön azonosítót, a számítógépes bűnözők e-mail címét és a „.rajah” kiterjesztést. Példaként egy eredetileg „1.jpg” nevű fájlt „1.jpg[2AF20FA3].[rajah@airmail.cc].rajah”-ra alakítjuk át. Ezen túlmenően a zsarolóprogram létrehoz egy „+README-WARNING+.txt” feliratú váltságdíjat.

A váltságdíj fizetési felszólításként szolgál, hangsúlyozva, hogy az áldozat fájljai titkosítva vannak, és azokat csak a támadók tudják visszaállítani. Kifejezetten figyelmeztet a víruskereső szoftverek vagy harmadik féltől származó helyreállítási eszközök használatára, mivel az ilyen műveletek véglegesen visszafejthetetlenné tennék a fájlokat, ami visszafordíthatatlan adatvesztéshez vezet. Az áldozatot tájékoztatják, hogy a visszafejtési folyamat váltságdíjat igényel Bitcoin kriptovalutában, a konkrét összeget nem határozták meg.

A Rajah Ransom megjegyzés nem tartalmaz konkrét BTC váltságdíjat

A rádzsa váltságdíj teljes szövege a következő:

XXX Adataid titkosítva lettek XXX

Az adatok visszaállításához írjon a rajah@airmail.cc címre

KÉRJÜK NAGYON FIGYELMESEN OLVASSA EL AZ ALÁBBI SZÖVEGET!!!

1. Az Ön adatait rajtunk kívül senki nem adja vissza (ne bízzon harmadik félben)
2. A víruskereső és helyreállító programok véglegesen megsértik az adatait (még mi sem tudjuk visszaállítani!)
3. Az adatok helyreállításáért a fizetés BITCOIN-ban (BTC) történik !!! CSAK BITCOIN!!!
4. A BITCOIN-t (BTC) a hxxps://www.binance.com/en weboldalon vásárolhatja meg (egy egyszerű regisztrációt kell teljesítenie az oldalon található utasításokat követve, majd vásárolnia kell a BITCOIN-t (BTC))

Ha elolvasta a fenti szöveget, és szüksége van az adataira, itt az ideje, hogy írjon nekünk.

Hogyan kerülhet a Rajah-hoz hasonló Ransomware a rendszerébe?

Számos általános módja van annak, hogy a ransomware-ek, például a Rajah behatoljanak a rendszerébe:

• Adathalász e-mailek: A kiberbűnözők gyakran adathalász e-maileken keresztül terjesztik a zsarolóprogramokat. Jogosnak tűnő e-maileket készítenek, és meggyőzik a címzetteket, hogy rosszindulatú hivatkozásokra kattintsanak, vagy fertőzött mellékleteket töltsenek le. Megnyitás után a rosszindulatú program hozzáfér a rendszerhez, és megkezdi a fájlok titkosítását.
• Rosszindulatú letöltések: A Ransomware látszólag ártalmatlan letöltéseket tartalmazhat nem megbízható webhelyekről, vagy legitim szoftverfrissítésnek álcázható. Amikor a felhasználók tudtukon kívül letöltik és végrehajtják ezeket a rosszindulatú fájlokat, a zsarolóprogram átveszi az irányítást a rendszer felett.
• Szoftver sebezhetőségeinek kihasználása: A kiberbűnözők az operációs rendszerek, szoftverprogramok vagy bővítmények sérülékenységeit használják ki zsarolóprogramok küldésére. Ha a rendszer nem naprakész a legújabb biztonsági javításokkal, akkor érzékenyebbé válik az ilyen támadásokra.
• Drive-by-letöltések: A feltört vagy rosszindulatú webhelyek látogatása gyorsletöltésekhez vezethet, ahol a rosszindulatú programok automatikusan letöltésre és telepítésre kerülnek felhasználói beavatkozás nélkül. Ez olyan kizsákmányoló készleteken keresztül fordulhat elő, amelyek a webböngészők vagy a beépülő modulok sebezhetőségeit célozzák meg.
• Fertőzött külső eszközök: A Ransomware fertőzött külső eszközökön, például USB-meghajtókon vagy külső merevlemezeken keresztül terjedhet. Amikor ezek az eszközök a rendszerhez csatlakoznak, a rosszindulatú program elindíthatja a titkosítási folyamatát.