IRIS Ransomware
Mahdollisiin haittaohjelmauhkiin kohdistuvan kyberturvatarkastuksen aikana tutkijat törmäsivät IRIS-nimiseen haittaohjelmistoon. Sen ensisijaisena tehtävänä on salata vaarantuneille laitteille tallennettuja tiedostoja. Salauksen jälkeen uhka vaatii lunnaita uhreilta vastineeksi heidän tiedostojensa salauksen purkamisesta.
Suorituksen jälkeen IRIS Ransomware käynnistää salausprosessin, joka kohdistuu eri tiedostotyyppeihin, jotka löytyvät järjestelmästä. Se muuttaa alkuperäisiä tiedostonimiä lisäämällä neljästä satunnaisesti luodusta merkistä koostuvan laajennuksen. Esimerkiksi tiedosto, jonka nimi oli alun perin '1.pdf', näkyy nyt muodossa '1.pdf.592m', kun taas '2.png' muuttuisi muotoon 2.png.2n32 ja niin edelleen kaikille salatuille tiedostoille. Salausprosessin päätyttyä IRIS muokkaa työpöydän taustakuvaa ja tallettaa lunnaat, jonka otsikko on "read_it.txt". Lisäksi tutkijat ovat todenneet, että IRIS kuuluu Chaos Ransomware -perheeseen.
IRIS Ransomware voi estää uhrien pääsyn tietoihinsa
IRIS:n toimittama lunnasviesti hahmottelee tilannetta: uhrin tiedostot on salattu, ja niiden palauttamiseksi vaaditaan 350 dollarin maksu XMR:ssä (Monero kryptovaluutta). Huomautus menee kuitenkin pitemmälle väittäen, että hyökkääjät ovat myös suodattaneet arkaluontoisia tietoja, kuten selaushistoriaa, henkilökohtaisia tietoja, kirjautumistietoja ja luottokorttien numeroita. Tämä mutkistaa asioita, koska laitteen alustamista ei pidetä käyttökelpoisena ratkaisuna, koska se ei poista varastettuja tietoja. Sen sijaan hyökkääjät uhkaavat vuotaa nämä tiedot, jos lunnaita ei makseta.
Tyypillisissä kiristysohjelmaskenaarioissa salauksen purkaminen ilman hyökkääjien osallistumista on lähes mahdotonta, paitsi harvoissa tapauksissa, joissa kiristysohjelma on vakavasti viallinen. Vaikka uhrit noudattavat lunnaita koskevia vaatimuksia, he eivät kuitenkaan usein saa salauksen purkutyökaluja. Siksi asiantuntijat suosittelevat vahvasti olemaan maksamatta lunnaita, sillä se ei vain takaa tietojen palautusta, vaan tukee myös laitonta toimintaa rahoittamalla kyberrikollisia.
Jotta IRIS Ransomware -ohjelma ei salaa tiedostoja edelleen, on erittäin tärkeää poistaa se käyttöjärjestelmästä. On kuitenkin tärkeää huomata, että kiristysohjelman poistaminen ei automaattisesti palauta salattuja tietoja.
Suojaa laitteesi haittaohjelmilta ja kiristysohjelmilta
Laitteiden suojaaminen haittaohjelmilta ja kiristysohjelmilta on ratkaisevan tärkeää nykypäivän digitaalisessa ympäristössä. Tässä on kattava opas, jossa esitetään erilaisia toimenpiteitä, joilla käyttäjät voivat suojata laitteitaan tehokkaasti:
Toteuttamalla nämä kattavat toimenpiteet käyttäjät voivat minimoida haitta- ja kiristysohjelmatartuntojen riskin laitteissaan ja suojata arvokkaat tietonsa vaarantumiselta.
IRIS Ransomwaren luoman lunnasilmoituksen koko teksti on:
'HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)'