WhiteRose ransomware-angrep sender bisarre poesi i løsepenger til ofrene

Ransomware-krigen er i ferd med å eskalere ZDNets Danny Palmer forklarer hvorfor ransomware ble så ondskapsfull i 2017, og deler fire spådommer om nettangrep selskaper kan forvente neste år.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • WhiteRose er den nyeste oppføringen i en familie av karakteristiske ransomware-angrep med språklige og tematiske særegne løsepenger.
  • WhiteRose nyttelast ser ut til å bli levert gjennom usikrede eksterne skrivebordstjenester, selv om den nøyaktige metoden er ukjent.

Advarslene som følger med ransomware som informerer ofrene om deres situasjon - og gir instruksjoner om å betale for gjenoppretting av filer - er vanligvis uinspirerte, direkte skrivestykker fylt med advarsler om det haster med å betale og mangelen på alternativer for å gjenopprette filer uten å betale . De siste månedene har en familie av ransomware-angrep tatt til en noe uortodoks måte å varsle brukere.

MalwareHunterTeam har nylig detaljert WhiteRose ransomware, den siste i denne angrepsrekken, som tilsynelatende er spredt gjennom et sårbarhet i Remote Desktop-tjenester. Ransomware søker etter datamaskinens offer etter filer som samsvarer med noen hundre forhåndsvalgte utvidelser. Den krypterer disse filene, endrer filnavnet og legger "_ENCRYPTED_BY.WHITEROSE" til den, ifølge en tweet av ransomware-jegeren Michael Gillespie som oppdaget ransomware.

I motsetning til annen ransomware, som krypterer stasjoner og forhindrer Windows i å laste, målretter WhiteRose ikke filer i mapper merket "Windows", "Programfiler" eller "Microsoft", og utelukker også innholdet i papirkurven.

Av spesiell interesse sjekker det om det finnes en fil som heter "Perfect.sys" i stasjonsroten før kryptering. Hvis den eksisterer, stopper ransomware.

Ransomware-lappen, sett her på Pastebin, er i beste fall mystifiserende. Den beskriver en hacker "som sitter på en trestol ved siden av et busk tre" med "en lesbar bok" av William Faulkner, i en hage på et avsidesliggende sted. Notatet fortsetter, "Bak meg er et tomt hus av drømmer og foran meg, full av vakre hvite roser. Til venstre for meg er en tom blå pool av rød fisk sic og til høyre for meg, trær fulle av vårhvite blomster. "

Beskrivelsen av ransomware er på samme måte skrått:

Til tross for navnet ser det ut til at notatet ikke har noen lett synlig tilknytning til karakteren i Mr. Robot, eller den nazistiske motstandsbevegelsen fra 1942-1943. Den fullstendige teksten til løsepengene er også tilgjengelig på Bleeping Computer.

Heldigvis hevder sikkerhetsforsker Michael Gillespie å kunne dekryptere filene (og tilbyr seg å gjøre det for ofre), men er tilsynelatende motstandsdyktig mot å gjøre en fullstendig beskrivelse som beskriver sårbarheten for at ikke forfatterne lapper det. Gitt at ransomware deaktiverer Windows Startup Repair, og sletter skyggevolumekopier og hendelseslogger, ville denne typen restaurering ikke fungere.

WhiteRose er tilsynelatende den fjerde hovedvarianten av denne spesifikke ransomware-familien. I februar ble ransomware for "Black Ruby" oppdaget. Det fungerte stort sett identisk med den nyoppdagede WhiteRose-varianten, selv om den inkluderte en Monero-gruvearbeider og en grammatisk konsistent løsepenger som ofte inneholdt forvirrende ordvalg, og hevdet "Våre verter ønsker vår tilstedeværelse velkommen fordi vi vil gi dem en snau suvenir fra hjertet av Jorden, "og" Bredden til denne familien er ikke ment å stoppe, fordi vi har nok kunnskap, og du stoler også på kunnskapen vår. Vi er alltid dine støttespillere og verge for informasjonen din på denne flerdagers banketten, og vær sikker på at ingen i verden kan ta det fra deg bortsett fra oss som trekker ut denne edelstenen. " Black Ruby avsluttes automatisk før kryptering hvis den avgjør at måldatamaskinen er i Iran.

Tidligere varianter av denne ransomware inkluderer også Zenis og HiddenTear / InfiniteTear, som ble oppdaget i slutten av 2017. Alle variantene ser ut til å bli forplantet gjennom usikrede Remote Desktop-tjenester, selv om den eksakte angrepsvektoren er ukjent.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com