Oprogramowanie ransomware FBIRAS wykorzystuje stare sztuczki inżynierii społecznej

Nasz zespół badawczy odkrył oprogramowanie ransomware FBIRAS podczas analizy nowych próbek złośliwego oprogramowania. To złośliwe oprogramowanie szyfruje dane i żąda zapłaty okupu za odszyfrowanie.

Podczas naszych testów zaobserwowaliśmy, że ransomware szyfrowało pliki i dołączało rozszerzenie „.FBIRAS” do ich nazw. Na przykład plik pierwotnie nazwany „1.jpg” będzie wyświetlany jako „1.jpg.FBIRAS”, a czasami rozszerzenie było powielane, co skutkowało nazwami plików takimi jak „1.jpg.FBIRAS.FBIRAS”.

Po zakończeniu szyfrowania została wygenerowana notatka z żądaniem okupu o nazwie „Readme.txt”. W tej notatce sprawcy fałszywie przedstawiają się jako „organy ścigania” i próbują oszukać ofiary, aby uwierzyły, że infekcja jest konsekwencją naruszeń prawa cybernetycznego.

W nocie okupu zwrócono się do ofiary jako do „podatnika” i wyjaśniono, że jej pliki zostały zaszyfrowane w wyniku rzekomych naruszeń prawa cybernetycznego. Ofiary są instruowane, aby skontaktowały się z cyberprzestępcami podszywającymi się pod „organy ścigania” i zapłaciły „grzywnę” w zamian za przywrócenie dostępu do swoich plików. Odmowa spełnienia żądań skutkuje zwiększeniem kar finansowych i trwałą utratą danych. Notatka ostrzega również przed manipulowaniem plikami lub próbami usunięcia oprogramowania ransomware, ponieważ mogłoby to uniemożliwić odzyskanie danych.

Należy podkreślić, że ten atak ransomware w oczywisty sposób nie ma powiązań z legalnymi organami ścigania.

List z żądaniem okupu FBIRAS słabo stara się wyglądać na uzasadnionego

Pełny tekst żądania okupu FBIRAS brzmi następująco:

Attention Tax payer:

All Your files have been locked with ransomware by law enforcement for violating cyber laws. All of your important documents, photos, and videos have been encrypted and cannot be accessed without a decryption key. This is a serious offense and you must pay a fine to unlock your files.

To unlock your files, follow these instructions:

1. Contact us on telegram = @Lawinfo19
2. We will tell about you problem
3. You need us to pay a amount for your criminal activity
4. Use the decryption key to unlock your files.

If you fail to comply with these instructions, the fine will increase and your files will be permanently deleted.

Do not attempt to remove the ransomware or tamper with your files. Any attempts to do so will result in the permanent loss of your data.

We understand the inconvenience this may cause, but it is necessary to ensure that cyber laws are not violated. We apologize for any inconvenience and hope to resolve this matter as soon as possible.

Sincerely,

Law Enforcement

W jaki sposób oprogramowanie ransomware może dostać się do Twojego systemu?

Ransomware może przedostać się do systemu na różne sposoby, w tym:

Wiadomości e-mail phishingowe: Cyberprzestępcy często rozpowszechniają oprogramowanie ransomware za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub łącza. Te e-maile mogą wydawać się uzasadnione, zachęcając odbiorców do otwierania załączników lub klikania łączy, które następnie pobierają i uruchamiają oprogramowanie ransomware w systemie.

Złośliwe witryny internetowe: odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić użytkowników na oprogramowanie ransomware. Witryny te mogą zawierać zestawy exploitów, które automatycznie pobierają i instalują oprogramowanie ransomware w systemach odwiedzających poprzez luki w ich przeglądarkach internetowych lub wtyczkach.

Złośliwe reklamy: Cyberprzestępcy mogą wstrzykiwać złośliwy kod do reklam internetowych (malvertising), które po kliknięciu przekierowują użytkowników do witryn zawierających oprogramowanie ransomware lub inicjują automatyczne pobieranie do systemów użytkowników.

Pobieranie dyskowe: oprogramowanie ransomware może być również dostarczane poprzez pobieranie dyskowe, podczas którego złośliwe oprogramowanie jest automatycznie pobierane i instalowane w systemie użytkownika bez jego zgody i wiedzy podczas odwiedzania zaatakowanych witryn internetowych.

Oprogramowanie bez łatek: wykorzystywanie luk w zabezpieczeniach nieaktualnego lub niezałatanego oprogramowania to powszechna metoda dostarczania oprogramowania ransomware przez osoby atakujące. Wykorzystują znane słabości systemów operacyjnych, aplikacji lub wtyczek, aby uzyskać dostęp do systemów i uruchomić oprogramowanie ransomware.

Sieci wymiany plików: oprogramowanie ransomware może rozprzestrzeniać się za pośrednictwem sieci wymiany plików typu peer-to-peer (P2P), w których użytkownicy nieświadomie pobierają zainfekowane pliki lub pakiety oprogramowania zawierające oprogramowanie ransomware.