Capibara Ransomware blokuje zainfekowane komputery

Podczas przeglądu nowych próbek plików nasz zespół badawczy odkrył oprogramowanie ransomware Capibara. To złośliwe oprogramowanie działa poprzez szyfrowanie plików w celu żądania zapłaty okupu.

Po pobraniu próbki tego szkodliwego oprogramowania uruchomiliśmy je w naszym systemie testowym. Zaobserwowaliśmy, że nazwy plików zaszyfrowanych przez to oprogramowanie ransomware zostały zmienione poprzez dodanie rozszerzenia „.capibara”. Na przykład plik o nazwie „1.jpg” będzie wyświetlany jako „1.jpg.capibara”, a „2.png” jako „2.png.capibara” i tak dalej.

Po zakończeniu procesu szyfrowania Capibara zmieniła tło pulpitu i wygenerowała plik tekstowy o nazwie „READ_ME_USER.txt” zawierający notatkę z żądaniem okupu w języku rosyjskim. W notatce zapisano ofierze, że jej pliki zostały zaszyfrowane i obecnie nie da się ich odczytać, oraz podkreślono, że odzyskanie danych jest niemożliwe bez udziału napastników.

Ofiara otrzymuje polecenie zakupu narzędzia deszyfrującego za 5000 rubli rosyjskich za pomocą Bitcoina. Jednakże kwota okupu określona w Bitcoinach – 0,073766 BTC – nie pokrywa się z kwotą rubla przy aktualnym kursie wymiany, biorąc pod uwagę ciągłe wahania kursów.

List z żądaniem okupu Capibara jest dostępny wyłącznie w języku rosyjskim

Pełny tekst żądania okupu Capibara brzmi następująco:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

W jaki sposób oprogramowanie ransomware może zainfekować Twój komputer domowy?

Ransomware może zainfekować komputer domowy na różne sposoby, w tym:

E-maile phishingowe: osoby atakujące wysyłają zwodnicze e-maile zawierające złośliwe łącza lub załączniki. Kliknięcie tych łączy lub otwarcie zainfekowanych załączników może spowodować pobranie i zainstalowanie oprogramowania ransomware na komputerze.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić Twój komputer na pobieranie plików typu drive-by, podczas którego oprogramowanie ransomware jest automatycznie pobierane i instalowane bez Twojej wiedzy.

Luki w oprogramowaniu: Nieaktualne oprogramowanie, zwłaszcza systemy operacyjne i aplikacje, może zawierać luki w zabezpieczeniach, które oprogramowanie ransomware wykorzystuje w celu uzyskania dostępu do komputera.

Niezabezpieczony protokół Remote Desktop Protocol (RDP): jeśli używasz protokołu RDP do zdalnego łączenia się z komputerem domowym i nie jest on odpowiednio zabezpieczony (np. przy użyciu słabych haseł), osoby atakujące mogą to wykorzystać, aby uzyskać dostęp i wdrożyć oprogramowanie ransomware.

Zainfekowane dyski USB: Podłączenie zainfekowanych dysków USB lub innych zewnętrznych urządzeń pamięci masowej może spowodować wprowadzenie oprogramowania ransomware na komputer.

Oprogramowanie bezpłatne lub pirackie: Pobieranie oprogramowania z niezaufanych źródeł lub korzystanie z pirackiego oprogramowania zwiększa ryzyko pobrania wraz z nim oprogramowania ransomware.

Wykorzystywanie luk w zabezpieczeniach sieci: Oprogramowanie ransomware może rozprzestrzeniać się w sieci domowej, jeśli jeden komputer zostanie zainfekowany, a złośliwe oprogramowanie uzyska dostęp do dysków współdzielonych lub innych urządzeń podłączonych do sieci.