Newlocker Ransomware

Newlocker Ransomware peamine ülesanne on krüptida nakatunud süsteemi salvestatud faile. Krüpteerimisprotsessi käigus nimetab Newlocker mõjutatud failid ümber, lisades nende nimed laiendiga ".newlocker". Näiteks kui faili nimi oli algselt 1.pdf, nimetab Newlocker selle ümber nimeks 1.pdf.newlocker jne. Seda tehakse selleks, et näidata, millised failid on pahavara poolt krüptitud. Lisaks failide krüptimisele loob Newlocker faili nimega 'HOW_TO_RECOVER_DATA.html', mis sisaldab ohvritele mõeldud lunaraha.

Newlocker Ransomware lukustab laia valikut failitüüpe

Ründajate jäetud lunarahakiri sisaldab ohvrile määratud isikukoodi ja hoiatust, et võrku on rikutud ning kõik üliolulised failid on krüpteeritud RSA ja AES krüpteerimisalgoritmide abil. Märkus hoiatab eriti krüptitud failide taastamise eest kolmanda osapoole tarkvaraga, kuna see võib need jäädavalt hävitada.

Ründajad väidavad, et ükski Internetis saadaval olev dekrüpteerimistarkvara ei aita krüptitud faile taastada. Lisaks väidavad ründajad, et on saanud väga konfidentsiaalseid ja isikuandmeid, mis avalikustatakse või müüakse maha, kui lunaraha ei maksta.

Tõestuseks oma võimest krüptitud faile taastada, pakuvad ründajad tasuta kahe kuni kolme ebaolulise faili dekrüpteerimist. Lunarahateatis sisaldab makse tegemiseks ja dekrüpteerimistarkvara hankimiseks kahte kontakti e-posti aadressi – 'microhdd@tuta.io' ja 'microhdd@firemail.cc'. Samuti hoiatab see, et dekrüpteerimisvõtit salvestatakse ainult ajutiselt.

Ründajad soovitavad ohvril võimalikult kiiresti nendega ühendust võtta, kuna failide dekrüpteerimise hind tõuseb, kui 72 tunni jooksul ühendust ei võeta.

Kasutajad peaksid looma piisava kaitse lunavaraohtude vastu

Lunavara on kahjulik pahavara vorm, mis võib kasutaja seadmeid ja andmeid oluliselt kahjustada. Lunavararünnakute eest kaitsmiseks saavad kasutajad võtta mitmeid meetmeid.

Esiteks peaksid kasutajad hoidma kogu oma pahavaratõrje- ja turbetarkvara ajakohasena, sest see võib aidata tuvastada ja vältida lunavara installimist nende seadmetesse.

Samuti peaksid kasutajad olema ettevaatlikud e-kirjade avamisel või tundmatutest või ebausaldusväärsetest allikatest pärinevatel linkidel klõpsamisel. Samuti peaksid nad vältima failide allalaadimist kinnitamata veebisaitidelt või failide jagamise võrkude kasutamist.

Nende olulistest andmetest regulaarne varukoopiate tegemine on üks parimaid meetmeid lunavaraohtude võimaliku kahju leevendamiseks. Varukoopiad tuleks salvestada välisele salvestusseadmele või pilveteenusele, et neid saaks ründe korral turvaliselt kasutada mõjutatud failide taastamiseks.

Kasutajate jaoks on ülioluline oma kontode ja seadmete jaoks tugevad ja kordumatud paroolid ning võimaluse korral kahefaktoriline autentimine. See on viis vältida volitamata juurdepääsu nende süsteemidele ja andmetele.

Newlocker Ransomware'i jäetud lunarahateade on järgmine:

"TEIE ISIKU ID:

/!\ TEIE ETTEVÕTTE VÕRK ON PUUDUNUD /!\
KÕIK TEIE OLULISED FAILID ON KRÜPTITUD!

TEIE FAILID ON OHUTUD! AINULT MUUDATUD. (RSA+AES)

MIS TAHES TEIE FAILIDE TAASTAMISE KOLMANDATE OSAPOOLTE TARKVARAGA
HÄVITAB TEIE FAIL PÜSIVALT.
ÄRGE MUUDA Krüptitud FAILID. ÄRGE NIMETAGE ÜMBER KRÜPTITUD FAILID.

ÜKSKI INTERNETIS SAADAVAL TARKVARA EI SAA TEID AIDATA. MEIL AINULT ON
LAHENDUS TEIE PROBLEEMILE.

KOGUSIME VÄGA KONFIDENTSIAALSEID/ISIKUKAANDMEID. NEED ANDMED
ON PRAEGU SALVESTATUD ERASERVERIS. SEE SERVER ON
HÄVINUD KOHE PÄRAST TEIE MAKSEMIST. OTSIME AINULT RAHA
JA EI TAHA OMA MAINET KAHJUSTADA. KUI OTSUSTATE
EI MAKSA, AVALDAME NEED ANDMED AVALIKELE VÕI EDASIMÜÜJALE.

SAATE MEILE SAADATA 2-3 MITTEOLULIST FAILIT JA MEIE SAADAME
DEKRÜPTIGE SEE TASUTA, et TÕESTADA, ET OLEME TEIE FAILID ANDMA
TAGASI.

VÕTKE MEIEGA ÜHENDUST HINDA (BITCOIN) JA HANKKE DEKrüptsiooni TARKVARA.

microhdd@tuta.io
microhdd@firemail.cc
VÕTTA VÕIMALIKULT KEESTI ÜHENDUST. TEIE DEKRÜPTIMISVÕTI ON AINULT SALVESTATUD
AJUTISELT. KUI TE EI VÕTA MEIEGA ÜHENDUST 72 TUNDI JOOKSUL, ON HIND KÕRGEM.