GCNI Ransomware
Потребителите по никакъв начин не трябва да подценяватСпособността на GCNI Ransomware да причинява щети.Изследователите на Infosec са идентифицирали GCNI Ransomware като вариант от семейството на Spora Ransomware. Силният алгоритъм за криптиране, използван от GCNI, е в състояние да заключи всеки от многобройните целеви типове файловенапълно. Жертвите, които искат да възстановят достъпа до своите данни, са изнудвани от нападателите, които уж ще изпратят необходимия ключ за декриптиране, след като бъдат платени.
По време на процеса на криптиране GCNI променя значително имената на заключените файлове. Той добавя идентификационен низ, имейл адрес и ново разширение на файла. Идентификаторът е уникален за всяка жертва, имейл адресът е „FilesRecoverEN@Gmail.com, а разширението на файла е „.GCNI". Заплахата пуска две бележки за откуп върху нарушените системи. Единият се съдържа в текстов файл с име 'Read_Me!_.txt', докато другият ще се показва в изскачащ прозорец.
Преглед на бележката за откуп
Двете бележки споделят голяма част от едни и същи детайли. Те заявяват, че жертвите ще трябва да платят откуп, използвайки криптовалутата Bitcoin. Те също така трябва да се опитат да се свържат с хакерите в рамките на 48 часа след атаката или рискуват да платят двойна първоначална сума на откупа. Ако жертвите отнемат твърде много време, за да установят контакт, ключът за декриптиране, необходим за възстановяването на техните данни, ще бъде изтрит от сървърите на хакерите, което прави файловете невъзстановими.
В бележката се споменават два имейл адреса, които са под контрола на нападателите – „FilesRecoverEN@Gmail.com" и „FilesRecoverEN@Onionmail.org". Като част от посланието им се казва на жертвите да изпратят няколко заключени файла, които трябва да бъдат декриптирани и върнати безплатно. Единствените изисквания, открити в бележката, са файловете да са по-малки от 2MB и да не съдържат важна информация.
Съобщението в текстовия файл е:
' Всички ваши файлове са криптирани с най-силния алгоритъм за криптиране!
Ако наистина имате нужда от вашите файлове, моля, изпратете ни имейл, за да получите инструменти и инструкции за декриптиране
Трябва да ни изпратите някои заключени файлове за тест за декриптиране (преди да платите)!Ако не ни изпратите имейл и нямате нужда от вашите файлове след известно време, нашите сървъри ще премахнат вашите декриптионни ключове от сървърите !!!
Вашият уникален идентификационен номер:
Имейл адрес: FilesRecoverEN@Gmail.comВнимание!!!
Тема Вашият уникален идентификационен номерНе редактирайте и не преименувайте криптирани файлове.
Ако не ни изпратите имейл след 48 часа, таксата за декриптиране ще се удвои.
Не се опитвайте да декриптирате файлове чрез софтуер на трети страни или за възстановяване на данни, това може да повреди файловете.
В случай на опит за декриптиране на файлове със софтуер на трети страни, това може да направи декриптирането по-трудно, така че цените ще се повишат.Изскачащият прозорец показва следните инструкции:
Всичките ви файлове са криптирани!
Всичките ви файлове са криптирани поради проблем със сигурността с вашия компютър (с най-строгия алгоритъм за криптиране). Ако наистина имате нужда от вашите файлове, моля, изпратете ни имейл, за да получите инструменти за декриптиране.
Единственият начин за възстановяване на файлове е да закупите инструменти за декриптиране (плащането трябва да се извърши с биткойн). Ако не ни изпратите имейл след 48 часа, таксата за декриптиране ще се удвои.
Ако не ни изпратите имейл и нямате нужда от вашите файлове след известно време, нашите сървъри автоматично ще изтрият вашите декриптионни ключове от сървъри!
Нашият имейл адрес: FilesRecoverEN@Gmail.com
Вашият личен документ: -
Изпратеният имейл трябва да съдържа вашия личен идентификационен номер. Ако не получите отговор или друг проблем, пишете ни на имейл: FilesRecoverEN@Onionmail.org
Проверете и вашата папка за спам.Каква гаранция ви даваме?
Можете (трябва) да изпратите някои файлове за тест за декриптиране (преди да платите). Размерът на файла трябва да бъде по-малък от 2MB и файловете не трябва да съдържат ценни данни като (резервни копия, бази данни и т.н...).Как да купя биткойни
Вземете инструкции за купуване на биткойни в LocalBitcoins:
hxxps://localbitcoins.com/guides/how-to-buy-bitcoins
Купете инструкции за биткойн от Coindesk и други уебсайтове, като търсите в Google:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Внимание!!
Не редактирайте и не преименувайте криптирани файлове.
Не се опитвайте да декриптирате файлове от трети страни или софтуери за възстановяване на данни, това може да повреди файловете завинаги.
В случай на опит за декриптиране на файлове със софтуери за възстановяване на трети страни, това може да направи декриптирането по-трудно, така че цените ще се повишат. '
