NMO Ransomware

Hrozbu NMO Ransomware mohou využít kyberzločinci k uzamčení dat svých obětí. Hrozba má schopnost šifrovat četné typy souborů, zatímco silný kryptografický algoritmus zajišťuje, že zamčené soubory bude téměř nemožné obnovit bez nezbytných dešifrovacích klíčů. Po analýze NMO Ransomware výzkumníci infosec potvrdili, že se jedná o variantu z rodiny malwaru Dharma .

Kromě šifrování souborů uložených na napadených zařízeních hrozba také generuje specifický řetězec ID pro každou oběť. NMO připojí tento řetězec k původním názvům zašifrovaných souborů, za nimiž následuje e-mailová adresa kontrolovaná útočníky. V tomto případě je e-mail 'dr.nemo@tutanota.com.' Nakonec bude přidáno '.NMO' jako nová přípona souboru.

Hrozba také doručí dvě výkupné do infikovaných systémů. Jeden je vypuštěn jako textový soubor s názvem 'info.txt.' Jeho zpráva uvádí, že uživatelé, kteří chtějí získat své soubory zpět, musí zahájit kontakt s útočníky zasláním zprávy 'dr.nemo@tutanota.com' nebo 'mr.helper@gmx.com.' Jako vyskakovací okno se zobrazí delší zpráva požadující výkupné. Neposkytuje žádné další podrobnosti, pouze obsahuje sekci s různými varováními.

Textový soubor obsahuje následující zprávu:

Všechna vaše data nám byla uzamčena
Chcete se vrátit?
napište email dr.nemo@tutanota.com nebo mr.helper@gmx.com

Ve vyskakovacím okně se zobrazily následující pokyny:

VAŠE SOUBORY JSOU ŠIFROVANÉ

ZAQ

Nebojte se, všechny soubory můžete vrátit!
Pokud je chcete obnovit, napište na mail: dr.nemo@tutanota.com VAŠE ID -
Pokud neodpovíte poštou do 12 hodin, napište nám na jiný mail: mr.helper@gmx.com

POZORNOST!
Doporučujeme, abyste nás kontaktovali přímo, abyste se vyhnuli přeplácení agentů

Nepřejmenovávejte šifrované soubory.
Nepokoušejte se dešifrovat data pomocí softwaru třetích stran, může to způsobit trvalou ztrátu dat.
Dešifrování vašich souborů pomocí třetích stran může způsobit zvýšení ceny (přidají svůj poplatek k našemu) nebo se můžete stát obětí podvodu. '