Capibara Ransomware vergrendelt geïnfecteerde computers

Tijdens een beoordeling van nieuwe bestandsvoorbeelden ontdekte ons onderzoeksteam de Capibara-ransomware. Deze kwaadaardige software functioneert door bestanden te versleutelen om losgeld te eisen.

Nadat we een voorbeeld van deze malware hadden verkregen, hebben we deze op ons testsysteem uitgevoerd. We hebben vastgesteld dat de bestandsnaam van bestanden die door deze ransomware zijn gecodeerd, is gewijzigd met de extensie ".capibara". Een bestand met de naam "1.jpg" wordt bijvoorbeeld weergegeven als "1.jpg.capibara", en "2.png" als "2.png.capibara", enzovoort.

Na voltooiing van het coderingsproces veranderde Capibara de bureaubladachtergrond en genereerde een tekstbestand met de naam "READ_ME_USER.txt" met daarin een losgeldbriefje in het Russisch. Het briefje vertelt het slachtoffer dat hun bestanden zijn gecodeerd en nu onleesbaar zijn, en benadrukt dat herstel onmogelijk is zonder de tussenkomst van de aanvallers.

Het slachtoffer krijgt de opdracht om met Bitcoin een decoderingstool voor 5000 Russische roebel aan te schaffen. Het losgeldbedrag gespecificeerd in Bitcoins – 0,073766 BTC – komt echter niet overeen met het roebelbedrag tegen de huidige wisselkoers, gezien de aanhoudende schommelingen in de koersen.

Capibara losgeldbriefje is alleen beschikbaar in het Russisch

De volledige tekst van het losgeldbriefje van Capibara luidt als volgt:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Hoe kan ransomware uw thuiscomputer infecteren?

Ransomware kan uw thuiscomputer op verschillende manieren infecteren, waaronder:

Phishing-e-mails: Aanvallers sturen misleidende e-mails met kwaadaardige links of bijlagen. Als u op deze links klikt of geïnfecteerde bijlagen opent, kunt u ransomware op uw computer downloaden en installeren.

Schadelijke websites: Als u gecompromitteerde of kwaadwillige websites bezoekt, kan uw computer worden blootgesteld aan drive-by downloads, waarbij ransomware automatisch wordt gedownload en geïnstalleerd zonder uw medeweten.

Softwarekwetsbaarheden: Verouderde software, vooral besturingssystemen en applicaties, kunnen beveiligingskwetsbaarheden bevatten die ransomware misbruikt om toegang te krijgen tot uw computer.

Onveilig Remote Desktop Protocol (RDP): Als u RDP gebruikt om op afstand verbinding te maken met uw thuiscomputer en deze niet goed is beveiligd (bijvoorbeeld door zwakke wachtwoorden te gebruiken), kunnen aanvallers dit misbruiken om toegang te krijgen en ransomware te implementeren.

Geïnfecteerde USB-drives: Het aansluiten van geïnfecteerde USB-drives of andere externe opslagapparaten kan ransomware op uw computer introduceren.

Freeware of illegale software: Het downloaden van software van onbetrouwbare bronnen of het gebruik van illegale software verhoogt het risico dat er gelijktijdig ransomware wordt gedownload.

Exploitatie van netwerkkwetsbaarheden: Ransomware kan zich over een thuisnetwerk verspreiden als een computer geïnfecteerd raakt en de malware toegang krijgt tot gedeelde schijven of andere op het netwerk aangesloten apparaten.