Malware forskare xXToffeeXx har snubblat på en ny ransomware som sprider sig genom att hacka Fjärrskrivbordstjänster. Den ransomware, kallas RSAUtil, är för närvarande undecryptable vilket innebär att det finns inget sätt att dekryptera filer gratis. Trots detta, betala lösen rekommenderas inte. RSAUtil Ransomware infects computers via remote desktop services

Som är typiskt för ransomware, när det krypterar dina filer, kommer det att kräva att du betalar. Hacking Fjärrskrivbordstjänster är inte vanligt för ransomware och mer grundläggande metoder, såsom spam e-post eller falska uppdateringar, används vanligt. När det gäller RSAUtil, kommer det att placera ett paket av filer på din dator som kommer att utföra ransomware. Det finns en mängd olika filer som finns i paketet.

En CMD-fil kommer att se till att rensa alla händelseloggar som tar bort alla spår av infektion mönster. Två filer, DontSleep_x64.exe och DontSleep_x64.ini, förhindrar att datorn försätts i viloläge så krypteringen inte avbryts. Hotbrev finns i filen How_return_files.txt och det kommer att placeras i alla mappar som har krypterade filer. Bild.jpg är den bild som skulle användas som skrivbordet. Den innehåller ett meddelande om att alla dina filer är krypterade och innebär att ska du kontakta utvecklaren.

config.cfg är den fil som är ansvarig för kryptering. Den kontrollerar om din dator har redan krypterats, anger ID, e-post, hotbrev, filändelser läggas till krypterade filer och offentliga krypteringsnyckeln, som används för att kryptera filer. NE SPAT.bat filen kommer att konfigurera många remote desktop servicealternativ. Denna fil kommer att huvudsakligen säkerställa att anslutningen till fjärrskrivbord inte är förlorat. För att starta ransomware, har hackaren att köra filen svchosts.exe. Det kommer att söka efter filer och kryptera dem. Malware forskare notera att RSAUtil hamnar kryptera körbara filer eftersom det har ingen lista över filtyper.

När hela lanseringen och kryptering processen är klar, offrets skärmen låses och ett meddelande visas. Det kommer att Visa offrets ID och förklara att filer har krypterats. Två e-postadresser, helppme@india.com och hepl1112@aol.com, kommer att ges och offer ombeds att använda dem för att kontakta hackare. Det belopp som offret skulle behöva betala anges inte i meddelandet och det antas att det skulle ges via e-post.

Det rekommenderas aldrig att uppfylla krav som lösen och betala det belopp som begärs eftersom du fortfarande behandlar cyberbrottslingar. Det finns många fall när användare betalat och fortfarande inte fick en metod för att dekryptera deras filer. Det är vanligtvis rekommenderas att offren investera pengarna i att få tillförlitlig säkerhetskopiering så att om en liknande situation hände igen, skulle det finnas behöver du inte oroa dig för filkryptering. Och malware forskare kan kunna utveckla en decryptor i framtiden så dina filer inte kanske förlorade trots allt.

Kommentera