Nový ransomware nazvaný Defray začal napadat nemocnice ve Spojeném království a v USA, přičemž právě na zdravotnické a vzdělávací instituce je přímo cílen. Upozornil na to ve svém článku server Proofpoint. Šíří se prostřednictvím příloh e-mailu: zaměstnanci dostanou e-mail s přílohou ve formátu Microsoft Word obsahující „zprávu pacienta“ s odkazem.
Pokud oběť klikne na odkaz v dokumentu, do složky dočasných souborů se stáhne program taskmgr.exe
nebo explorer.exe
, který se ihned spustí. Následuje zašifrování dokumentů a souborů oběti, do každé složky se navíc nakopíruje soubor FILES.txt
či HELP.txt
obsahující informace o ransomware a o formě zaplacení výkupného.
Na počátku textu souboru se autoři ransomware snaží uklidnit napadeného uživatele a radí mu, aby se obrátil na své IT oddělení. Jako výkupné požadují 5000 dolarů v bitcoinech, nicméně poskytují tři e-mailové adresy a adresu komunikační aplikace BitMessage, kde lze autory zastihnout a o výkupném smlouvat nebo diskutovat.
Ransomware cílí přímo na zdravotnictví a vzdělávací instituce, citlivé vůči útoku vypadají systémy Windows 7 a Windows XP.
Kompletní článek o ransomware Defray si můžete přečíst na serveru Proofpoint.