Moonshadow Ransomware

تهدید باج افزار Moonshadow یکی دیگر از گونه های تهدید کننده خانواده بدنام VoidCrypt است. کاربران نباید این را به عنوان نشانه ای از تهدید کمتر Moonshadow در نظر بگیرند. در صورت استقرار این تهدید بر روی یک دستگاه نقض شده، می تواند بخش قابل توجهی از داده های ذخیره شده در آنجا را قفل کند. قربانیان نمی توانند به اسناد ارزشمند، PDF، پایگاه داده، آرشیو و موارد دیگر دسترسی داشته باشند.

باج افزار Moonshadow به هر یک از قربانیان خود یک شناسه منحصر به فرد اختصاص می دهد. این رشته ID به نام اصلی فایل های رمزگذاری شده اضافه می شود. پس از آن یک آدرس ایمیل تحت کنترل مجرمان سایبری خواهد بود. در این مورد، ایمیل "developer.110@tutanota.com" است. در نهایت، تهدید ".moonshadow" را به عنوان پسوند فایل جدید اضافه می کند. سپس یک یادداشت باج به قربانیان ارائه می شود که حاوی دستورالعمل هایی از سوی عوامل تهدید است. پیام در پنجره جدیدی که از یک فایل HTA به نام "Decryption-Guide.HTA" تولید شده است، نمایش داده می شود. علاوه بر این، Moonshadow یک فایل متنی با نام "Decryption-Guide.txt" ایجاد می کند که حاوی یک پیام مشابه است.

جزئیات Ransom Note

همانطور که گفتیم دستورالعمل های پنجره پاپ آپ و فایل متنی یکسان است. آنها بیان می کنند که فایل های قفل شده قابل بازیابی هستند، اما قربانیان اگر بخواهند ابزار رمزگشایی و کلید RSA لازم را دریافت کنند، باید باج بپردازند. کاربران آسیب دیده همچنین باید فایل خاصی را که در سیستم آلوده ایجاد شده است پیدا کنند. نام فایل باید شبیه «KEY-SE-24r6t523» یا «RSAKEY.KEY» باشد. بدون اطلاعات موجود در آن، حتی مجرمان سایبری نیز نمی توانند قفل فایل های رمزگذاری شده را باز کنند. در یادداشت باج آمده است که ارتباط فقط از طریق ایمیل 'developer.110@tutanota.com' قابل انجام است.

متن کامل یادداشت های باج داده شده توسط باج افزار Moonshadow به شرح زیر است:

فایل های شما قفل شده اند
فایل های شما با الگوریتم رمزنگاری رمزگذاری شده است
اگر به فایل های خود نیاز دارید و برای شما مهم هستند، خجالتی نباشید به من ایمیل بفرستید
فایل آزمایشی + فایل کلید را روی سیستم خود ارسال کنید (فایل موجود در C:/ProgramData مثال: KEY-SE-24r6t523 یا RSAKEY.KEY) برای اطمینان از بازیابی فایل های شما
با من در مورد قیمت توافق کنید و پرداخت کنید
ابزار رمزگشایی + کلید RSA و دستورالعمل برای فرآیند رمزگشایی را دریافت کنید

توجه:
1- فایل ها را تغییر نام یا تغییر ندهید (شما ممکن است آن فایل را گم کنید)
2- سعی نکنید از برنامه های شخص ثالث یا ابزارهای بازیابی استفاده کنید (اگر می خواهید این کار را انجام دهید از فایل ها کپی کنید و آنها را امتحان کنید و وقت خود را تلف کنید)
3- سیستم عامل (ویندوز) را دوباره نصب نکنید، ممکن است فایل کلید را از دست بدهید و فایل های خود را از دست بدهید.
4-همیشه به افراد وسط و مذاکره کنندگان اعتماد نکنید (بعضی از آنها خوب هستند اما برخی از آنها مثلاً روی 4000 دلار توافق دارند و 10000 دلار از مشتری خواسته اند) این اتفاق افتاد.

شناسه پرونده شما: -
ایمیل ما:developer.110@tutanota.com '