NORD Ransomware
NORD Ransomware er en potent trussel mod kryptolås. Selvom det ikke er helt unikt, har infosec-forskere bestemt, at NORD Ransomware er en WannaScream-variant, der på ingen måde mindskede dets destruktive kapacitet. Faktisk vil ofre for truslen pludselig blive låst ude af deres egne computere, og de er ikke i stand til at få adgang til eller bruge nogen af deres filer.
Som en del af krypteringsprocessen ændrer NORD Ransomware navnene på de filer, den påvirker drastisk. Truslen tilføjer en unik ID-streng til filens originale navn efterfulgt af en e-mail-adresse, der styres af hackerne, og endelig '.NORD' som en ny filtypenavn. E-mail-adressen er 'decryptfilekhoda@protonmail.com.' To forskellige løsepenge notater vil blive droppet på kompromitterede systemer. Den ene vises i et pop op-vindue (info.hta), mens den anden vil være inde i tekstfiler (ReadMe.txt) oprettet i hver mappe, der indeholder krypterede data.
Instruktionerne i tekstfilerne er ekstremt korte. De beder simpelthen ofrene om at kontakte hackerne via de medfølgende kommunikationskanaler. Mens WannaScream-skabelonen til løsesummen indeholder en Telegram-konto og en sekundær e-mail-adresse, har de kriminelle, der er ansvarlige for NORD Ransomware, ikke gidet at inkludere dem. Den eneste måde at etablere kommunikation til rådighed for ofrene for truslen er at sende en e-mail til ovennævnte 'decryptfilekhoda@protonmail.com.' Løsepenge noten fra pop op-vinduet giver lidt flere detaljer. Selvom det ikke nævner det nøjagtige beløb, der kræves af hackerne, siger det, at den potentielle transaktion skal foretages ved hjælp af bitcoins. Det giver også berørte brugere mulighed for at vedhæfte op til 5 filer, der ikke overstiger en samlet størrelse på 4 MB, til e-mail-beskeden, der skal dekrypteres gratis.
Den fulde tekst til 'ReadMe.txt'-filerne er:
'[+] Alle dine filer er blevet krypteret [+]
[-] Vil du virkelig gendanne dine filer?
[+] Skriv os til e-mailen: decryptfilekhoda@protonmail.com
[+] Skriv os til ID-Telegram:
[+] Hvis du ikke fik noget svar før 24 timer senere, skriv til denne e-mail: decryptfilekhoda@protonmail.com
[-] Skriv dit unikke ID i titlen på din besked.
[+] Unikt ID: '
Løsepenge 'info.hta' fuldstændige instruktioner inkluderer:
'Alle dine filer er krypteret af Wanna Scream!
på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, skal du skrive os til e-mailen decryptfilekhoda@protonmail.com
Skriv dette id i titlen på din besked: -
I tilfælde af intet svar inden for 24 timer, skriv os til denne e-mail: decryptfilekhoda@protonmail.com
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig det værktøj, der dekrypterer alle dine filer.
Gratis dekryptering som garanti
Inden du betaler, kan du sende os op til 5 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 4 MB (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store Excel-ark osv.)
Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins-webstedet. Du skal registrere, klikke på 'Køb bitcoins' og vælge sælgeren efter betalingsmetode og pris.
hxxps: //localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begyndere guide her:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer ved hjælp af tredjeparter kan medføre øget pris (de føjer deres gebyr til vores), eller du kan blive offer for en fidus. '
