Hoạt động của phần mềm tống tiền Akira mới đang dần xây dựng danh sách nạn nhân khi chúng xâm nhập mạng công ty trên toàn thế giới, mã hóa tệp và sau đó yêu cầu khoản tiền chuộc hàng triệu đô la.
Ra mắt vào tháng 3 năm 2023, Akira tuyên bố đã tiến hành các cuộc tấn công vào 16 công ty. Các công ty này hoạt động trong nhiều ngành khác nhau, bao gồm giáo dục, tài chính, bất động sản, sản xuất và tư vấn.
Mặc dù một phần mềm tống tiền khác có tên Akira đã được phát hành vào năm 2017 , nhưng người ta không tin rằng các hoạt động này có liên quan với nhau.
Một mẫu của phần mềm tống tiền Akira đã được phát hiện bởi MalwareHunterTeam , người đã chia sẻ một mẫu với BleepingComputer để chúng tôi có thể phân tích.
Khi được thực thi, Akira sẽ xóa Windows Shadow Volume Copy trên thiết bị bằng cách chạy lệnh PowerShell sau:
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Trong khi mã hóa, bộ mã hóa sẽ bỏ qua các tệp được tìm thấy trong các thư mục Thùng rác, Thông tin ổ đĩa hệ thống, Khởi động, Dữ liệu chương trình và Windows. Nó cũng sẽ tránh mã hóa các tệp hệ thống Windows bằng các phần mở rộng tệp .exe, .lnk, .dll, .msi và .sys.
Khi mã hóa tệp, phần mềm tống tiền mã hóa tệp và nối thêm phần mở rộng .akira sẽ được thêm vào tên của tệp.
Ví dụ: một tệp có tên 1.doc sẽ được mã hóa và đổi tên thành 1.doc.akira, như được hiển thị trong thư mục được mã hóa bên dưới.
Các tệp được mã hóa bởi Akira
Akira cũng sử dụng Windows Restart Manager API để đóng các quy trình hoặc tắt các dịch vụ Windows có thể đang giữ một tệp mở và ngăn mã hóa.
Mỗi thư mục máy tính sẽ chứa một ghi chú đòi tiền chuộc có tên akira_readme.txt bao gồm thông tin về những gì đã xảy ra với các tệp của nạn nhân và liên kết đến trang web rò rỉ dữ liệu Akira và trang web đàm phán.
Giấy đòi tiền chuộc của Akira
Mỗi nạn nhân có một mật khẩu đàm phán duy nhất được nhập vào trang Tor của kẻ đe dọa. Không giống như nhiều hoạt động ransomware khác, trang thương lượng này chỉ bao gồm một hệ thống trò chuyện mà nạn nhân có thể sử dụng để thương lượng với nhóm ransomware.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.