Ransomware rammer nu private computere

By Michael RasmussenCybersecurity, Cybersikkerhed, DeKryptering, Kryptering, Kryptovaluta, Ransomware

Et kig på den nye Sugar ransomware der går mod almindelige computere

Som sådan, står det ikke klart, hvordan ransomware bliver distribueret eller inficerer ofrene. Det er om muligt tale om en hemmelig inficeringsmetode eller en kombination af flere kendte inficeringsmetoder, kombineret med Phishing.

Vi mener at SUGAR bruger pop-up menuer med falske opdateringsvinduer og almindelige kendte sikkerhedshuller.

De fleste ransomware operationer, du læser om, er rettet mod virksomheder, men SUGAR går direkte efter alle de IP adresser som ikke er virksomheder. Det er også inkluderet DHCP tildelte IP adresser, altså computere der har et DSL abonnement.

Disse IP adresser tilhører kun forbrugere eller små virksomheder. Større virksomheder har faste IP adresser.

Nyt er det i hvert fald at den nye Sugar Ransomware operation er aktivt rettet mod individuelle computere, snarere end virksomhedernes netværk. De nye pengekrav i kryptovaluta for computere der låses, er derfor lave i forhold til flere andre med samme kampagner.

Som rapporteret af Walmart Security Team, er ‘Sugar’ en ny Ransomware-as-a-Service (RaaS) operation. Sugar startede i november 2021, men har ikke været udbredt, men på det seneste er aktiviteten steget.

Navnet på ransomware er baseret på operationens affiliate side opdaget af Walmart på ‘sugarpanel[.]space’

Sugar Ransomware adfærd

Når den lanceres, opretter Sugar Ransomware forbindelse til whatismyipaddress.com og ip2location.com for at få enhedens IP-adresse og geografiske placering.

Derefter fortsætter den med at hente en 76 MB fil fra http://cdn2546713.cdnmegafiles[.] com /data23072021_1.dat, men det er uklart, hvordan denne fil bruges.

Endelig, vil der blive oprette forbindelse til ransomware operation kommando og kontrol server på 179.43.160.195, hvor det sender og modtager data relateret til angrebet.

Den ransomware adresse vil fortsætte med at kalde tilbage til kommandoen og kontrol-server, som det er oprettet, sandsynligvis opdatere Raas med status for angrebet.

Herefter krypteres filer. Det sker sådan at samtlige filer krypteres undtagen dem, der er anført i følgende mapper eller har følgende filnavne (Det vil sige 99%) af en egne data:

Udeladte mapper:

  • windows
  • DRIVERS
  • PerfLogs
  • temp
  • boot

Udeladte fil typer:

  • BOOTNXT
  • bootmgr
  • sidefil
  • .exe
  • .dll
  • .sys
  • .lnk
  • .bat
  • .cmd
  • .ttf
  • .manifest
  • .ttc
  • .cat
  • .msi;

Walmart forskere siger, at ransomware krypterer filer ved hjælp af SCOP kryptering algoritme. De krypterede filer har filtypenavnet .encoded01 føjet til filnavne som vist nedenfor.

Bliver også skabt skabe løsepenge noter opkaldt BackFiles_encoded01.txt i hver mappe, der blev scannet for filer på computeren. Her er en hilsen/instruktion:

—=== Welcome. Again. ===—

[-] Whats HapPen? [-]

Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension csruj.

By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests.

To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.

If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice – time is much more valuable than money.

[+] How to get access on website? [+]

You have two ways:

1) [Recommended] Using a TOR browser!

a) Download and install TOR browser from this site:

b) Open our website:

2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:

a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)

b) Open our secondary website:

Warning: secondary website can be blocked, thats why first variant much better and more available.

When you open our website, put the following data in the input form:

Key:

—————————————————————————————–

!!! DANGER !!!

DON’T try to change files by yourself, DON’T use any third party software for restoring your data or antivirus solutions – its may entail damage of the private key and, as result, The Loss all data.

!!! !!! !!!

ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.

!!! !!! !!!

Dette løsesums notat indeholder oplysninger om, hvad der skete med ofrets filer, et unikt ID, og et link til en Tor site med oplysninger om, hvordan man betaler løsesummen.

  • Tor site er placeret på chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion.

Når du besøger Tor site, offeret vil blive præsenteret med deres egen side, der indeholder Bitcoin adresse til at sende en løsesum, en chat sektion, og evnen til at dekryptere fem filer gratis. 

De løsesum krav fra denne kampagne koster ca. et par hundrede dollars for at modtage en nøgle.

Kilde: Wallmart, iCare.dk
Grafik: stock.adobe.com
Andet indehold: Txtdump fra Wallmart