Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Azov Ransomware är en typisk datatorkare utan någon lösning

Azov ransomware som tidigare inramade säkerhetsforskare i deras verksamhet har detaljerats av en Checkpoint-forskare om hur det fungerar.

Han beskrev hur dess datakorruption fungerar och flera referenser tillskrivs dess ondska. Han, precis som andra forskare, har varnat för att det inte finns något botemedel mot att någon smittas av Azov ransomware. Ändå föreslog saker som borde göras för att vara säkra.

Azov Ransomware Modus Operandi

Som tidigare rapporterats använder författarna av Azov ransomware SmokeLoader för att distribuera sin skadliga programvara – som finns i ett antal former som piratkopierad programvara eller spel. När den distribueras kommer skadlig programvara för ransomware att korrumpera systemdata och lämna en lösennota – där den listar ett gäng säkerhetsforskare som deras gäng.

Att be de berörda forskarna att söka hjälp – även om de inte är associerade – ber Azovgänget om ingen lösensumma för att dekryptera deras filer. Istället hade den ställt in en datatorkare för att radera alla infekterade sakersäger Jiří Vinopalforskare vid Checkpoint Security.

Han beskrev hur ransomwaren fungerar från dess första utplacering via SmokeLoader, och en torkare inställd på att utlösas först den 27 oktober 2022, kl. 10:14:30 UTC. Många offer har redan listat denna skadliga programvara i VirusTotal när detta skrevs.

Vinopal sa det Azov ransomware skulle skriva över en fils innehåll och korrupta data i omväxlande 666-byte bitar av skräpdatavilket gör hela filen värdelös – även om hälften av innehållet är intakt. Användningen av numret 666 i dess datakorruptionsförfarande är kopplat till den bibliska “djävulen”, som visar hotaktörens illvilliga avsikt.

Bortsett från detta, skadlig programvara sägs också sätta en “bakdörr” för att låta andra 64-bitars körbara filer på den komprometterade Windows-enheten. Denna väg kan användas för att förstöra systemet ytterligare, om så önskas.

Forskare har tidigare upphävt kopplingarna mellan denna ransomware-grupp och den ukrainska militären (eftersom Azov är namnet på ett ukrainskt “Azov” militärregemente), även om det använder sitt namn. Det är vanligt att vissa hotaktörer använder andra namngivna för att förvirra forskarna eller göra en falsk inverkan.

Även om det är oklart varför hotaktören spenderar pengar på att distribuera en datatorkare, forskare varnade för att torkaren inte har något botemedel ännu. Så användare bör vara vaksamma på att använda knäckt programvara och piratkopierade versioner av allt från webben och undvika risken att bli smittad.