To nie „obciążenie karty” – to Ransomware Sigma
Do CERT Orange Polska trafiła próbka dość świeżego ransomware, Sigma. To klasyczny przypadek, grający na emocjach potencjalnej ofiary.
![](https://cert.orange.pl/wp-content/uploads/2023/10/50ded80a25df5fb6ee04ff220a0dea1feb755cc7.jpeg)
W dzisiejszych czasach większość z nas korzysta z kart płatniczych, więc ze sporym prawdopodobieństwem można założyć, że zobaczywszy, iż ktoś obciążył naszą kartę transakcją na wysoką kwotę, odruchowo kliknie w załącznik, a nawet wpisze podane hasło.
![](https://cert.orange.pl/wp-content/uploads/2023/10/c43cb5b9a10220f0e998c99fa3dcc163cbd963e1.png)
Jeśli tak zrobimy, dokument bez naszej wiedzy łączy się z siecią TOR, pobierając plik spod adresu hxxp://6vt4gbkwnjfnyo6g.onion.link/icon1.jpg. W kolejnym korku zmienia jego rozszerzenie na .exe i łączy się z adresem ip-api.com /json. Potem już tylko wymiana informacji z ukrytymi w sieciach TOR serwerami Command&Control, wymiana kluczy szyfrujących i zła wiadomość dla ofiary:
![](https://cert.orange.pl/wp-content/uploads/2023/10/c7e6093a80898183b74c59e9be1e86e3d1015c69-1024x531.png)
![](https://cert.orange.pl/wp-content/uploads/2023/10/c6f35615e9661348d20f681f25306b29c99eb238-1024x714.png)
Autorzy instalowanego Ransomware Sigma, za odszyfrowanie naszych plików oczekują 1000 dolarów.