Die “Eva Richter” -bedrogspul kodifiseer lĂȘers deur ‘n vals CV te verpersoonlik

Die

Die aflaai van ‘n e-pos met die titel “Bewerbung by Arbeitsagentur – Eva Richter” (aansoek via die Employment Agency – Eva Ritcher), kan volgens u nuwe verslag katastrofies wees.

Bleeping Computer, ‘n webwerf wat gewy is aan verslae oor kuberveiligheid, het die bestaan ​​van die bedrieglike bedrogspul ‘Eva Ritcher’ bevestig. Die bedrogspul val mense in Duitsland aan deur ‘n kwaadwillige “exe” -lĂȘer aan ‘n e-pos te heg, wat ook ‘n PDF-hervattingstoepassing kan wees.

jamf nou

Hierdie nuwe bedrogspul werk op dieselfde manier as Ransomware. Eerstens enkripteer dit lĂȘers op u rekenaar, en vra dan geld vir afpersing, in die vorm van Bitcoins, om die lĂȘers te ontsyfer.

Valse CV “Eva Ritcher”: Hoe werk dit?

Die vervalste “Eva Ritcher” hervat bedrog as ‘n e-pos met betrekking tot werksaansprake waarin sy beweer dat sy ‘n agentskap is. Die inhoud van die e-pos is:

Eva Ritcher Fake Resume Ordinypt

Hierdie e-pos bevat ook ‘n lĂȘer genaamd “Eva Richter Bewerbung und Lebenslauf.zip” (Eva Ritcher Application en CV.zip).

Binne die zip-lĂȘer is ‘n CV en ‘n foto, wat albei beweer dat hulle aan Eva Ritcher behoort. BedrieĂ«rs gebruik tegnieke ‘persoonlike ikoon’ en ‘dubbele uitbreiding’ om gebruikers te mislei om kwaadwillige lĂȘers oop te maak.

Daar is ‘n PDF-ikoon in die CV, maar as u die uitbreiding nagaan, kan u sien dat dit ‘n “.exe” -lĂȘer is.

Eva Ritcher CV verneuk

In die besonder is dit die Ordinypt-installeerder. Volgens die Bleeping-rekenaar flits die skerm verskeie kere. Die malware begin dan lĂȘers op u rekenaar enkripteer.

Philipp Mackensen, ‘n omgekeerde ingenieur, het Ordinypt beskryf as ‘n deurmat wat vermom is as ‘n losprys. Hy het verduidelik dat Ordinypt lĂȘergegewens in willekeurige kleinletters, hoofletters en simbole uitgeruil het en die oorspronklike vernietig het.

jamf nou

In hierdie geval werk Ordinypt soos ransomware en ‘n ruitveĂ«r: ‘n kwaadwillige program wat lĂȘers vernietig terwyl dit gekodeer word.

Hier kodifiseer die installeerder lĂȘers, skakel die herstelomgewing van Windows 10 uit en eindig alle prosesse terwyl die skadu-kopieĂ« van die volumes uitgevee word. Boonop behels die kodering wat dit doen, die invul van lĂȘers met lukrake data, wat dit onverstaanbaar maak om te lees.

Ordinypt skep pseudo-lĂȘers van die oorspronklike dokumente, wat beteken dat dit die helfte van die lĂȘer se data vernietig wanneer die ander helfte gekodeer word. Dit voeg ook ‘n pasgemaakte uitbreiding aan alle geĂŻnkripteer lĂȘers vir identifikasie.

GeĂ«nkripteerde lĂȘers

Nadat die kodering / vernietiging van data voltooi is, laat Ordinypt ‘n losprysnota (uitbreiding) _how_to_decrypt.txt. Stuur die gebruiker na Tor om ‘n betaling van ongeveer 0.1473766 BTC te betaal, wat USD 1.518.97 is.

Eva Ritcher CV Scam Ransom Note

Die verslag oor Ordinypt beveel aan dat u nie betalings aan hierdie scammers doen nie. Dit is omdat Ordinypt gebruikerslĂȘers vernietig wanneer dit gekodeer word.

jamf nou

Volgens die verslag het Shadow Volume Copies in verskillende gevalle daarin geslaag om Ordinypt te oorleef. In hierdie geval kan u u lĂȘers herstel.

Vir die oningewyde Shadow Volume Copies is ‘n tegnologie wat deur Microsoft in 2001 bekendgestel is, saam met Microsoft Windows XP Service Pack 2. Dit skep ‘n outomatiese rugsteun van lĂȘers na enige deel van die hardeskyf.

Vroeë ontmoeting met Ordinypt

Dit is nie die eerste keer dat Ordinypt CV’s opneem wat gebruikers verwoes nie. Aanvanklik is dit deur Michael Gillespie ontdek.

In 2017 is Orinypt op soortgelyke wyse via ‘n vals CV-e-pos versprei. Die enigste verskil is dat die naam van die vals aansoeker ‘Viktoria Henschel’ was in plaas van ‘Eva Ritcher’.

Die metode om ‘n kwaadwillige lĂȘer met ‘n CV-program aan te heg, is voorheen gebruik deur Petya Ransomware, wat nie lĂȘers nie, maar hele dele van die hardeskyf geĂŻnkripteer het, net om te ontsluit in ruil vir ‘n groot betaling.

Volg altyd hierdie reëls om veilig te bly teen hierdie soort aanvalle:

  1. Dateer u virusdefinisie gereeld op.
  2. Hou vanlyn-rugsteun van u data op ‘n aparte hardeskyf.
  3. Hou die firewall AAN en kyk altyd na die aard, uitbreiding en tipe lĂȘer voordat u dit oopmaak.