Истражувачите од Cyble Research and Intelligence Labs (CRIL) открија четири нови откупни софтвери – Putin Team, ScareCrow, BlueSky и Meow, кои беа изведени од протечениот изворен код на Conti ransomware.
Откупниот софтвер „Путин“ всушност беше изменет од откупниот софтвер Conti. Групата тврди дека е со руско потекло, иако, според CRIL, нема докази што го поткрепуваат тоа. Групата користи Телеграм за информации за своите жртви, а досега открила две жртви. Овој ransomware го користи алгоритмот ChaCha20 за шифрирање на датотеки. ChaCha20 е омилен кај групите за откупни софтвери поради неговиот брз процес на шифрирање. По шифрирањето на датотеките, откупниот софтвер ги преименува со додавање на наставката .PUTIN. Белешката за откуп обично е датотека README.txt што може да се најде во секоја папка и ја содржи Телеграм линк, ID на жртвата и дополнителни упатства за дешифрирање на датотеките.
Слично функционира откупниот софтвер ScareCrow. Врз основа на Conti ransomware, тој шифрира датотеки и додава .CROW како екстензија. Неговата белешка за откуп содржи три сметки на Телеграм преку кои жртвите можат да контактираат со групата.
Откупниот софтвер BlueSky се појави во втората половина на 2022 година и има многу преклопување со откупниот софтвер Conti и Babuk (чиј изворен код беше протечен во 2021 година), според CRIL. Наставката за шифрирани датотеки што може да се користи за да се идентификува инфекција со овој откупен софтвер е .BLUESKY. Групата ја користи веб-страницата Onion за да комуницира со жртвите, пренесува Informacija.rs.
Meow ransomware е најновиот меѓу наведените малвери. Наставката што овој откупен софтвер ја додава на шифрирани датотеки е .MEOW, а известувањето за откуп содржи четири адреси за е-пошта и две сметки на Телеграм за жртвите да контактираат со сајбер-криминалците.
Препораката на CRIL е да направите резервни копии, да ја изберете опцијата за автоматско ажурирање на софтверот и да избегнувате сомнителни линкови.
Поврзани артикли