Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Cortizol Ransomware

Cortizol Ransomware

Autorius Mezo, Ransomware
Versti į:

Kenkėjiškų programų infekcijos vis didėja ir tampa vis sudėtingesnės, todėl asmenims ir organizacijoms labai svarbu palaikyti stiprią apsaugą visuose įrenginiuose. Išpirkos reikalaujanti programinė įranga kelia ypač didelį pavojų, nes ji ne tik pažeidžia duomenų konfidencialumą, bet ir sutrikdo prieinamumą, blokuodama vartotojų prieigą prie savo failų. Vienas neseniai analizuotų grėsmių, iliustruojančių šiuos pavojus, yra „Cortizol“ išpirkos reikalaujanti programinė įranga – sudėtinga failus šifruojanti kenkėjiškų programų atmaina, skirta išgauti aukas bauginant ir techniškai manipuliuojant.

„Cortizol“ išpirkos reikalaujanti programa: apskaičiuota šifravimo schema

Išpirkos reikalaujanti programa „Cortizol“ buvo identifikuota išsamių kenkėjiškų programų tyrimų metu, kuriuos atliko informacijos saugumo tyrėjai. Paleidus sistemoje, išpirkos reikalaujanti programa užšifruoja failus ir pakeičia jų pavadinimus pagal savitą modelį. Prie kiekvieno užšifruoto failo pridedamas aukos ID, kontaktinis el. pašto adresas ir plėtinys „.Cortizol“. Pavyzdžiui, failas, kurio pavadinimas iš pradžių buvo „1.png“, pervadinamas į „1.png-id-6640599815[cortizol@atomicmail.io].Cortizol“, o „2.pdf“ tampa „2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol“.

Ši pervadinimo konvencija turi du tikslus: ji aiškiai parodo, kad failai buvo paimti įkaitais, ir įterpia identifikavimo duomenis, kuriuos užpuolikai naudoja aukoms sekti. Be failų šifravimo, „Cortizol“ modifikuoja darbalaukio foną, kad padidintų atakos matomumą, ir pateikia išpirkos raštelį pavadinimu „HOW_TO_RECOVER.txt“, užtikrindama, kad auka negalėtų nepastebėti incidento.

Išpirkos raštelis ir psichologinis spaudimas

Išpirkos raštelyje teigiama, kad visi pažeistoje sistemoje esantys failai buvo užšifruoti, ir tvirtinama, kad iššifravimas neįmanomas be unikalaus privataus rakto, kurį turi užpuolikai. Aukos įspėjamos, kad bet koks bandymas naudoti trečiųjų šalių iššifravimo įrankius arba pervadinti užšifruotus failus sukels negrįžtamą duomenų sugadinimą. Tokie įspėjimai yra įprasta psichologinė taktika, skirta atgrasyti nuo savarankiškų atkūrimo bandymų.

„Cortizol“ nurodo aukoms surasti failą pavadinimu „key.Cortizol“, tariamai saugomą kataloge „C:\ProgramData \“ arba kituose diskuose, ir nusiųsti jį užpuolikams. Pranešime taip pat įspėjama iš naujo įdiegti ar modifikuoti „Windows“ operacinę sistemą neišsaugojus šio rakto failo, nes jei nebus tiksliai laikomasi instrukcijų, duomenys bus prarasti negrįžtamai. Bendravimo kanalai apima el. pašto adresą cortizol@atomicmail.io.
ir „Telegram“ paskyra, identifikuota kaip „Cortizol2025“. Toks daugiakanalis bendravimo būdas padidina tikimybę, kad aukos paklus.

Nors užpuolikai tvirtina, kad privataus rakto įsigijimas yra vienintelis būdas atkurti prieigą, kibernetinio saugumo patirtis nuolat rodo, kad sumokėjus išpirką negarantuojama failų atkūrimo. Kibernetiniai nusikaltėliai gali nesugebėti pateikti veikiančio iššifravimo įrankio arba tiesiog nutraukti ryšį po apmokėjimo.

Infekcijos vektoriai ir perdavimo būdai

„Cortizol“ išpirkos reikalaujanti programa plinta įvairiais gerai žinomais platinimo būdais. Sukčiavimo el. laiškai išlieka vienu efektyviausių platinimo būdų, dažnai juose yra kenkėjiškų priedų arba įterptųjų nuorodų, kurios suaktyvina naudingosios informacijos atsisiuntimą. Netikros techninės pagalbos schemos ir socialinės inžinerijos taktika dar labiau padidina naudotojų sąveikos tikimybę.

Grėsmių kūrėjai taip pat platina išpirkos reikalaujančias programas per piratinę programinę įrangą, nulaužimus ir raktų generatorius, gautus iš neoficialių arba tarpusavio failų bendrinimo tinklų. Papildomus patekimo taškus suteikia pažeistos svetainės, klaidinantys skelbimai, užkrėsti USB diskai ir pasenusios programinės įrangos pažeidžiamumų išnaudojimas. Kenkėjiška informacija paprastai paslėpta vykdomuosiuose failuose, scenarijuose, suspaustuose archyvuose, tokiuose kaip ZIP arba RAR failai, arba iš pažiūros teisėtuose dokumentuose, įskaitant „Word“, „Excel“ ir PDF failus. Šis kenkėjiško kodo derinimas su įprastais formatais padidina infekcijų sėkmės rodiklį.

Poveikis ir rizika po infekcijos

Kai „Cortizol“ tampa aktyvus, jis ne tik užšifruoja prieinamus failus, bet ir gali toliau nuskaityti papildomus duomenis, kurie galėtų būti pažeisti. Jei išpirkos reikalaujanti programa nebus pašalinta, ji gali plisti tarp sujungtų to paties tinklo sistemų, padidindama veiklos sutrikimus ir finansinę žalą. Kuo ilgiau kenkėjiška programa išlieka įrenginyje, tuo didesnė išplėstinio šifravimo ir galimo antrinio naudingosios informacijos diegimo rizika.

Atkūrimas be užpuolikų privačiojo rakto paprastai neįmanomas, nebent yra saugios, nepaveiktos atsarginės kopijos. Dėl šios priežasties organizacijos ir individualūs vartotojai, turintys patikimas neprisijungus arba debesyje saugomas atsargines kopijas, yra daug geresnėje padėtyje, kad atkurtų veiklą nepasiduodami turto prievartavimo reikalavimams.

Apsaugos nuo išpirkos reikalaujančių programų stiprinimas

Efektyviai apsaugai nuo tokių grėsmių kaip „Cortizol“ reikalingas daugiasluoksnis saugumo metodas, kuris apjungia technines apsaugos priemones ir naudotojų informuotumą. Šios praktikos žymiai sumažina išpirkos reikalaujančių programų infekcijų riziką:

  • Reguliariai kurkite automatizuotas atsargines kopijas, saugomas neprisijungus arba saugiose debesies aplinkose, kurios yra izoliuotos nuo pagrindinės sistemos.
  • Nuolat atnaujinkite operacines sistemas, programas ir saugos programinę įrangą, kad pašalintumėte žinomus pažeidžiamumus.
  • Naudokite patikimus galinių taškų apsaugos sprendimus, galinčius aptikti išpirkos reikalaujančių programų elgsenos modelius.
  • Venkite piratinės programinės įrangos ar failų atsisiuntimo iš neoficialių šaltinių ir tarpusavio ryšių tinklų.
  • Būkite atsargūs tvarkydami el. laiškų priedus arba spustelėdami nuorodas, ypač gautus iš nežinomų ar netikėtų siuntėjų.
  • Išjunkite makrokomandas „Office“ dokumentuose, nebent tai būtų absoliučiai būtina ir patikrinta kaip saugi.

Be šių priemonių, labai svarbu greitai pašalinti aptiktą išpirkos reikalaujančią programinę įrangą, kad būtų išvengta tolesnio failų šifravimo ar plitimo tinkle. Incidentų reagavimo procedūros turėtų apimti paveiktos sistemos izoliavimą nuo tinklo, kruopštų kenkėjiškų programų nuskaitymą ir švarių duomenų atkūrimą iš atsarginių kopijų, jei tokių yra.

„Cortizol“ išpirkos reikalaujanti programa iliustruoja, kaip šiuolaikinė išpirkos reikalaujanti programa derina techninius šifravimo mechanizmus su socialine inžinerija ir psichologiniu spaudimu. Proaktyvios saugumo praktikos kartu su patikimomis duomenų atsarginių kopijų kūrimo strategijomis išlieka veiksmingiausiomis kovos su tokiomis besikeičiančiomis kibernetinėmis grėsmėmis priemonėmis.

System Messages

The following system messages may be associated with Cortizol Ransomware:

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

You cannot decrypt the files yourself. This will only corrupt the files

The only way to decrypt is to purchase a unique private key from us

Only we can give you this key and only we can recover your files

1-Go to C:\ProgramData\ or in Your Drives and send us key.Cortizol key file

2-To be sure we have the decryptor and it works you can send an email: cortizol@atomicmail.io and decrypt one file for free.
But this file should be of not valuable!

3-Changing Windows without saving KEY.Cortizol file will cause permanent Data loss

Do you want to restore your files?
Write to email: cortizol@atomicmail.io
Or send me a message on Telegram. My ID: hxxps://t.me/Cortizol2025

ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
Ransom note desiplayed as desktop background:
ALL YOUR FILES ARE ENCRYPTED

Your personal IDD: -

DO NOT TRY TO RECOVER FILES YOURSELF ALL ATTEMPTS WILL DESTROY YOUR DATA

To recover your files, contact us:
cortizol@atomicmail.io

Or send me a message on Telegram. My ID:
hxxps://t.me/Cortizol2025

Tendencijos

Parengtas privatus dokumentas dėl sukčiavimo el. paštu

Sukčiavimas, Šlamštas
Šiandieninėje grėsmių aplinkoje labai svarbu būti atsargiems gavus nepageidaujamus ar netikėtus el. laiškus. Kibernetiniai nusikaltėliai dažnai maskuoja apgaulingus pranešimus kaip teisėtus pranešimus, kad manipuliuodami gavėjais išviliotų neskelbtiną informaciją. Vadinamieji „Privatus dokumentas parengtas“ el. laiškai nėra siejami su jokiomis teisėtomis įmonėmis, organizacijomis ar subjektais....

„American Express“ – reikalingas paskyros prieigos...

Sukčiavimas, Šlamštas
Šiandieninėje skaitmeninėje aplinkoje labai svarbu išlikti budriems gavus netikėtus el. laiškus. Kibernetiniai nusikaltėliai dažnai apsimetinėja patikimais prekių ženklais, kad apgautų gavėjus ir iš jų gautų neskelbtiną informaciją. Vadinamoji „American Express“ – paskyros prieigos atnaujinimo el. pašto sukčiavimo kampanija yra viena iš tokių sukčiavimo kampanijų. Šie el. laiškai nėra susiję su...

AISURU / Kimwolf botnetas

Botnetai, Išplėstinė nuolatinė grėsmė (APT)
Paskirstytas paslaugų teikimo trikdymo (DDoS) botnetas, sekamas kaip AISURU/Kimwolf, buvo susietas su precedento neturinčia ataka, kurios piko metu buvo 31,4 terabito per sekundę (Tbps). Nepaisant itin didelio atakos intensyvumo, ji buvo trumpa – truko tik 35 sekundes. Incidentas įvyko 2025 m. lapkritį ir dabar yra didžiausia kada nors stebėta DDoS ataka. Hipervolumetrinių HTTP atakų augimas...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
24,005
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...