GonaCry рансъмуер

GonaCry е рансъмуер, който има способността да криптира файлове, да променя имената на криптираните файлове, да променя тапета на работния плот и да оставя след себе си бележка за откуп под формата на файл „read_it.txt“. Рансъмуерът GonaCry добавя рандомизирано разширение от 4 знака към всяко от шифрованите имена на файлове. Например, файл с име "1.jpg" може да бъде преименуван на "1.jpg.h863", докато файл с име "2.doc" може да бъде променен на "2.doc.i9as". Тази конвенция за именуване помага на нападателите прави разлика между криптирани и некриптирани файлове.

Преглед на изискванията на GonaCry Ransomware

Бележката за откуп информира жертвите, че операционната им система е била компрометирана от рансъмуера GonaCry, което прави всички файлове недостъпни. Извършителите на атаката предлагат да продадат специализиран софтуер за декриптиране, за който твърдят, че ще възстанови засегнатите файлове и ще елиминира рансъмуера.

Цената на софтуера за дешифриране е на цена от $50 и трябва да бъде платена в Monero, криптовалута. Плащането на откупа трябва да бъде направено с помощта на адреса на крипто портфейла Monero, предоставен в инструкциите на нападателите.

Типични тактики, използвани за разпространяване на заплахи като рансъмуера GonaCry

Ransomware обикновено се разпространява чрез фишинг имейли, повредени прикачени файлове и изтегляния. Фишинг имейлите са съобщения, които изглеждат като от доверен източник, но в действителност съдържат повредена връзка или прикачен файл, който при отваряне заразява устройството на жертвата с ransomware. Повредените прикачени файлове са файлове, изпратени като част от имейл, които изглеждат легитимни, но съдържат зловреден софтуер. Drive-by изтеглянията са повредени файлове, които автоматично се изтеглят на устройството на жертвата, когато посети заразен уебсайт.

Друг често срещан метод за разпространение на ransomware е чрез използване на уязвимости в софтуера и операционните системи. Нападателите използват инструменти за търсене на системи без корекции и след това използват намерените уязвимости, за да инсталират рансъмуера. Освен това, някои нападатели също използват peer-to-peer мрежи и техники за социално инженерство за разпространение на ransomware. В някои случаи нападателите могат да използват и друг зловреден софтуер, като троянски коне, за да инсталират рансъмуер на устройството на жертвата.

Методите, използвани за разпространение на ransomware, непрекъснато се развиват и непрекъснато се разработват нови техники. Ето защо е изключително важно да бъдете информирани за най-новите заплахи и да предприемете стъпки за защита срещу тях, като например редовно актуализиране на софтуер и операционни системи, избягване на кликване върху подозрителни връзки или прикачени файлове и прилагане на силни практики за сигурност.

Съдържанието на бележката за откуп, оставена на заразените устройства от рансъмуера GonaCry, е:

'----> GonaCry е многоезичен рансъмуер. Преведете бележката си на всеки език <----
Всички ваши файлове са шифровани
Компютърът ви е бил заразен с ransomware вирус. Вашите файлове са шифровани и няма да го направите
можете да ги дешифрирате без наша помощ. Какво мога да направя, за да си върна файловете? Можете да закупите нашите специални
софтуер за дешифриране, този софтуер ще ви позволи да възстановите всичките си данни и да премахнете
ransomware от вашия компютър. Цената на софтуера е $50. Плащането може да се извърши само в Monero.
Как да платя, откъде да взема Monero?
Закупуването на биткойни варира в различните държави, най-добре е да направите бързо търсене в Google
сами да разберете как да купите Monero.
Много от нашите клиенти съобщават, че тези сайтове са бързи и надеждни:
Localmonero - hxxps://localmonero.co/

Информация за плащанеСума: 0,27 XMR
XMR адрес: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

Съобщението, показано като фон на работния плот, е:

!! ВНИМАНИЕ!!

ВАШИТЕ ФАЙЛОВЕ СА КРИПТИРАНИ!

Всички ваши документи, снимки, бази данни и други важни файлове са криптирани с RSA криптиране.

Няма да можете да възстановите файла си без частния ключ, който е записан на нашия сървър.

Антивирусната програма не може да възстанови вашите файлове

Изпратете BTC на стойност 50$ на този адрес:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5

Или изпратете XMR на стойност 50$ на този адрес:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'