In der Silvesternacht wurden die Unternehmensnetzwerke von einer neuen Ransomware namens “Night Sky” angegriffen. Es ist eine Art von Malware, die Verschlüsselung verwendet, um die Informationen eines Opfers gegen Lösegeld zu halten. Die kritischen Daten eines Benutzers werden verschlüsselt, sodass er nicht auf Dateien, Anwendungen oder Datenbanken zugreifen kann.
Die neue Ransomware wurde zuerst von MalwareHunterTeam entdeckt und nach seinen Angaben wurde die Night Sky-Operation erstmals am 27. Dezember gestartet und hat seitdem die Daten und Dateien von zwei Benutzern veröffentlicht. Um den Entschlüsselungsschlüssel zu erhalten, müssen die Benutzer also 800.000 US-Dollar zahlen, um die Veröffentlichung der Daten zu vermeiden.
Wie Ransomware namens Night Sky PCs verschlüsselt
Diese bösartige Infektion vom Typ Ransomware enthält Lösegeldforderungen und hartcodierte Anmeldeinformationen (Benutzernamen/Passwörter) von Opfern, um auf ihre Verhandlungsseite zuzugreifen. Sobald dies erledigt ist, werden alle Dateien verschlüsselt, die auf dem Desktop des Opfers verfügbar sind, mit Ausnahme derer, die mit der Dateierweiterung .dll oder .exe enden.
Abgesehen davon verschlüsselt die Ransomware auch keine Dateien oder Ordner, die unten bereitgestellt werden:
Anwendungsdaten
Stiefel
Fenster
Windows.alt
Tor Browser
Internet Explorer
Oper
Mozilla
Opera-Software
Mozilla Firefox
$Recycle.Bin
Programmdaten
Alle Nutzer
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
nuser.dat
ntuser.dat.log
nuser.ini
thumbs.db
Programmdateien
Programmdateien (x86)
#recyceln
Nach dem Verschlüsseln der Dateien wird die Erweiterung „.nightsky“ an die Dateinamen angehängt. Beispielsweise würde eine Datei mit dem Namen 1.jpg nach der Verschlüsselung als 1.jpg.nightsky erscheinen. Außerdem erstellt es die Textdatei „NightSkyReadMe.hta“ (eine Lösegeldforderung). Die erstellte Notiz enthält Informationen zu dem, was gestohlen wurde, hartcodierte Anmeldeinformationen und Kontakt-E-Mails zur Verhandlungsseite des Benutzers.
Um mit den Opfern zu kommunizieren, verwendet dieser zweifelhafte Ransomware-Virus anstelle der Tor-Site E-Mail-Adressen und eine klare Website, auf der Rocket läuft. Plaudern. Die gestohlenen Zugangsdaten werden verwendet, um sich bei der Rocket.Chat-URL anzumelden, die in der Lösegeldforderung angegeben ist.
Doppelerpressungsmethoden
Die Ransomware verwendet die üblichen Techniken, um unverschlüsselte Daten von Opfern zu sammeln, bevor PCs im Netzwerk gesperrt werden. Die Cyberkriminellen hinter dieser Ransomware verwenden diese gestohlenen Daten in doppelten Erpressungsmethoden, bei denen Benutzern drohen, dass ihre Daten durchsickern, wenn der Lösegeldbetrag nicht rechtzeitig bezahlt wird.
Um Benutzerdaten offenzulegen, hat die Ransomware Night Sky eine Tor-Datenleck-Site erstellt, die derzeit zwei Opfer umfasst, eines aus Bangladesch und ein weiteres aus Japan. Sie wissen vielleicht, dass die neue Ransomware Night Sky keine bösartigen Aktivitäten wie andere Ransomware ausführt. es ist diejenige, die wir im neuen Jahr im Auge behalten müssen.