CursoDFIR Ransomware zawiera żądanie okupu w języku portugalskim

Badając nowe próbki złośliwego oprogramowania, natknęliśmy się na cursoDFIR, rodzaj oprogramowania ransomware zaprojektowanego do szyfrowania plików. Co więcej, cursoDFIR dodaje swoje rozszerzenie („.cursoDFIR”) do nazw plików, zmienia tło pulpitu i generuje dokument tekstowy („meleaicara.txt”) zawierający wiadomość z żądaniem okupu.

Ilustracja pokazująca, jak cursoDFIR zmienia nazwy zaszyfrowanych plików: „1.jpg” staje się „1.jpg.cursoDFIR”, „2.png” przekształca się w „2.png.cursoDFIR” i tak dalej. Ta wiadomość z żądaniem okupu, napisana w języku portugalskim, żąda zapłaty w zamian za odszyfrowanie plików zablokowanych przez cursoDFIR. Oskarża ofiarę o próbę pobrania pirackiego oprogramowania firmy Microsoft i przewiduje płatność w walucie cyfrowej w celu uzyskania klucza deszyfrującego.

Należy podkreślić, że w tej wiadomości z żądaniem okupu nie ma żadnych danych kontaktowych, co odbiega od normy dotyczącej żądań oprogramowania ransomware. Zazwyczaj takie wiadomości zawierają instrukcje dla ofiar, aby skontaktowały się z cyberprzestępcami w celu omówienia płatności okupu i uzyskania pomocy w odszyfrowaniu.

cursoDFIR List z żądaniem okupu napisany w języku portugalskim

Pełny tekst bardzo krótkiego żądania okupu wygenerowanego przez cursoDFIR brzmi następująco:

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

W jaki sposób oprogramowanie ransomware może zainfekować Twój komputer?

Ransomware może zainfekować komputer na różne sposoby, w tym:

E-maile phishingowe: Jedną z najpopularniejszych metod są e-maile phishingowe. Cyberprzestępcy wysyłają zwodnicze e-maile zawierające złośliwe załączniki lub łącza. Kiedy niczego niepodejrzewający użytkownicy otwierają te załączniki lub klikają łącza, oprogramowanie ransomware jest pobierane i uruchamiane w ich systemach.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może również prowadzić do infekcji oprogramowaniem ransomware. Strony te mogą zawierać zestawy exploitów, które automatycznie pobierają i instalują oprogramowanie ransomware na komputerach odwiedzających, wykorzystując luki w zabezpieczeniach ich przeglądarek lub wtyczek.

Pobieranie metodą „drive-by”: Podobnie jak złośliwe strony internetowe, oprogramowanie ransomware może zostać pobrane na komputer bez Twojej wiedzy w drodze pobierania „drive-by”. Pobrania te mają miejsce, gdy odwiedzasz legalną witrynę internetową, która została zhakowana, a złośliwe oprogramowanie jest automatycznie pobierane i instalowane w Twoim systemie w tle.

Wrażliwe oprogramowanie: oprogramowanie ransomware może wykorzystywać luki w oprogramowaniu zainstalowanym na komputerze, takim jak systemy operacyjne, przeglądarki internetowe lub wtyczki. Cyberprzestępcy wykorzystują te luki, aby uzyskać nieautoryzowany dostęp do systemu i wdrożyć oprogramowanie ransomware.

Złośliwe reklamy (malvertising): oprogramowanie ransomware może być również dystrybuowane poprzez złośliwe reklamy wyświetlane na legalnych stronach internetowych. Kliknięcie tych reklam może spowodować automatyczne pobranie i instalację oprogramowania ransomware na Twoim komputerze.