- Zrozumienie procesu infekcji
Nowe oprogramowanie ransomware krąży po wykorzystaniu popularnego narzędzia zdalnego pulpitu AnyDesk. Oprogramowanie ransomware, określane jako BlackRouter, rozprzestrzenia się wraz ze szkodliwymi ładunkami, aby wyrządzić ogromne szkody.
Podobnie jak Teamviewer (który również był wcześniej wykorzystywany), AnyDesk oferuje użytkownikom dwukierunkową kontrolę między systemami operacyjnymi, tj. Linux, MacOS, FreeBSD i Linux. Jednak nie ogranicza się tylko do systemu operacyjnego opartego na komputerach stacjonarnych, a także obejmuje także obsługę systemów iOS i Android.
Ponieważ BlackRouter jest dołączony do AnyDesk, który jest zaufanym narzędziem, udaje mu się uniknąć wykrycia.
Zrozumienie procesu infekcji
Sposób działania oprogramowania ransomware polega na tym, że należy go pobrać za pomocą AnyDesk z różnych witryn zewnętrznych.
Po pobraniu i zainstalowaniu BlackRouter kopiuje dwa inne pliki na komputerze w celu wykonania złośliwych procesów, które są następujące:
- % Temp użytkownika% BLACKROUTER.exe
- % Temp użytkownika% ANYDESK.exe
AnyDesk.exe zapewnia dostęp do klienta do czatu klienta, wykonuje transfer plików, a także sesje dziennika. Jest to jednak ograniczone do starszej wersji AnyDesk, a nie do nowej. Jeśli chodzi o BLACKROUTER.exe, oprogramowanie ransomware szyfruje systemy do różnych typów rozszerzeń, takich jak .xks, .gif, .pdf, itp.
Kiedy oprogramowanie ransomware zrobi to, co powinno, będzie wymagało 50 $ wartości Bitcoin, po czym dostęp jest najwyraźniej udzielany przez Telegram. Ponadto ostrzega użytkowników, aby nie zamykali swoich komputerów, aby zapobiec zablokowaniu zaszyfrowanych plików na zawsze.
Na razie wskazane jest, aby trzymać się z dala od wszystkich podobnych aplikacji do zdalnego udostępniania pulpitu. Jakkolwiek problematyczne jest to, że jest to jedyne rozwiązanie na razie. Upewnij się również, że używasz VPN, aby pozostać bezpiecznym i anonimowym online, chyba że chcesz być monitorowany przez niewłaściwy tłum. Nie? Tak nie myślałem.
