GonaCry Ransomware
GonaCry er ransomware, der har evnen til at kryptere filer, ændre filnavnene på de krypterede filer, ændre skrivebordsbaggrunden og efterlade en løsesumseddel i form af en 'read_it.txt'-fil. GonaCry Ransomware tilføjer en randomiseret udvidelse med 4 tegn til hvert af de krypterede filnavne. For eksempel kan en fil med navnet '1.jpg' blive omdøbt til '1.jpg.h863', mens en fil med navnet '2.doc' kunne ændres til '2.doc.i9as'. Denne navnekonvention hjælper angriberne skelne mellem krypterede og ukrypterede filer.
En oversigt over GonaCry Ransomwares krav
Løsesedlen informerer ofrene om, at deres operativsystem er blevet kompromitteret af GonaCry Ransomware, hvilket medfører, at alle filer bliver utilgængelige. Gerningsmændene bag angrebet tilbyder at sælge specialiseret dekrypteringssoftware, som de hævder vil gendanne de berørte filer og fjerne ransomwaren.
Prisen for dekrypteringssoftwaren er $50 og skal betales i Monero, en kryptovaluta. Løsesummen skal betales ved hjælp af Monero crypto-wallet-adressen, der er angivet i angriberens instruktioner.
Typisk taktik, der bruges til at distribuere trusler som GonaCry Ransomware
Ransomware spredes typisk gennem phishing-e-mails, beskadigede vedhæftede filer og drive-by-downloads. Phishing-e-mails er beskeder, der ser ud til at være fra en betroet kilde, men som i virkeligheden indeholder et beskadiget link eller en vedhæftet fil, der, når de åbnes, inficerer offerets enhed med ransomware. Beskadigede vedhæftede filer er filer, der sendes som en del af en e-mail, der virker legitime, men som indeholder malware. Drive-by-downloads er beskadigede filer, der automatisk downloades til et offers enhed, når de besøger et inficeret websted.
En anden almindelig metode til distribution af ransomware er gennem udnyttelse af sårbarheder i software og operativsystemer. Angribere bruger værktøjer til at søge efter ikke-patchede systemer og bruger derefter de fundne sårbarheder til at installere ransomwaren. Derudover bruger nogle angribere også peer-to-peer-netværk og social engineering-teknikker til at sprede ransomware. I nogle tilfælde kan angriberne også bruge anden malware, såsom trojanske heste, til at installere ransomware på et offers enhed.
De metoder, der bruges til ransomware-distribution, udvikler sig konstant, og der udvikles hele tiden nye teknikker. Derfor er det afgørende at holde sig orienteret om de seneste trusler og tage skridt til at beskytte mod dem, såsom regelmæssig opdatering af software og operativsystemer, undgå at klikke på mistænkelige links eller vedhæftede filer og implementere stærk sikkerhedspraksis.
Indholdet på løsesumsedlen efterladt på de inficerede enheder af GonaCry Ransomware er:
'----> GonaCry er ransomware på flere sprog. Oversæt din note til ethvert sprog <----
Alle dine filer er blevet krypteret
Din computer var inficeret med en ransomware-virus. Dine filer er blevet krypteret, og du vil ikke
være i stand til at dekryptere dem uden vores hjælp.Hvad kan jeg gøre for at få mine filer tilbage?Du kan købe vores special
dekrypteringssoftware, vil denne software give dig mulighed for at gendanne alle dine data og fjerne
ransomware fra din computer. Prisen for softwaren er $50. Betaling kan kun ske i Monero.
Hvordan betaler jeg, hvor får jeg Monero?
Køb af Bitcoin varierer fra land til land, du rådes bedst til at lave en hurtig google-søgning
selv for at finde ud af, hvordan du køber Monero.
Mange af vores kunder har rapporteret, at disse websteder er hurtige og pålidelige:
Localmonero - hxxps://localmonero.co/BetalingsoplysningerBeløb: 0,27 XMR
XMR-adresse: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74QkMeddelelsen, der vises som skrivebordsbaggrund, er:
!! OPMÆRKSOMHED !!
DINE FILER ER KRYPTERET!
Alle dine dokumenters fotos, databaser og andre vigtige filer er blevet krypteret med RSA-kryptering.
Du vil ikke være i stand til at gendanne din fil uden den private nøgle, som er blevet gemt på vores server.
Et antivirus kan ikke gendanne dine filer
Send BTC til en værdi af 50$ til denne adresse:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5Eller send XMR til en værdi af 50$ til denne adresse:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'
