CSIS har i de seneste dage modtaget flere rapporter fra danske virksomheder som er blevet ramt af en ny ransomware.
Kampagnen er blevet igangsat via inficerede websider i bl.a. Norge og Island, der har udnyttet sårbarheder i populære tredjepartsprodukter. CSIS Heimdal Agent kunder er behørigt beskyttet mod denne kampagne, idet vi automatisk lapper de sårbarheder som misbruges i tvangsfodringen og samtidig har blokeret det fjendtlige domæne i CSIS Secure DNS.
Når denne ransomware køres på et system, så droppes koden til windows temporære mappe med et vilkårligt filnavn.
I næste fase påbegyndes kidnapningen af indhold på den inficerede harddisk hvor samtlige dokumenter, html, billeder og genveje krypteres og tilføjes følgende filendelse, mens den originale fil slettes: ".EnCiPhErEd".
Den modificerer endvidere registreringsdatabasen:
HKEY_LOCAL_MACHINESOFTWAREClasses.EnCiPhErEd
Flere steder på den inficerede maskine droppes filer med navnet: "HOW TO DECRYPT FILES.TXT
Indholdet af denne er følgende:
"Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.
You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!"
Det er muligt for CSIS, at afkode denne ransomware hvorfor inficerede maskiner med relativ lethed, kan genskabes uden at skulle betale de 50 euro, som denne bandit forsøger at afpresse sig til.
↧
CSIS Nyheder: Ransomware rammer danske virksomheder
↧