NMO Ransomware
تهدید باج افزار NMO می تواند توسط مجرمان سایبری برای قفل کردن داده های قربانیان خود استفاده شود. این تهدید دارای قابلیت رمزگذاری انواع فایل های متعدد است، در حالی که الگوریتم رمزنگاری قوی تضمین می کند که بازیابی فایل های قفل شده بدون داشتن کلیدهای رمزگشایی لازم تقریبا غیرممکن خواهد بود. پس از تجزیه و تحلیل باجافزار NMO، محققان infosec تأیید کردند که این باجافزار گونهای از خانواده بدافزار Dharma است.
به غیر از رمزگذاری فایل های ذخیره شده در دستگاه های نقض شده، این تهدید همچنین یک رشته ID خاص برای هر قربانی ایجاد می کند. NMO آن رشته را به نام اصلی فایل های رمزگذاری شده اضافه می کند و به دنبال آن یک آدرس ایمیل که توسط مهاجمان کنترل می شود. در این مورد، ایمیل "dr.nemo@tutanota.com" است. در نهایت، '.NMO' به عنوان پسوند فایل جدید اضافه خواهد شد.
این تهدید همچنین دو یادداشت باج را به سیستم های آلوده ارائه می دهد. یکی به عنوان یک فایل متنی با نام 'info.txt' حذف می شود. پیام آن بیان میکند که کاربرانی که میخواهند فایلهای خود را پس بگیرند باید با ارسال پیام "dr.nemo@tutanota.com" یا "mr.helper@gmx.com" با مهاجمان تماس بگیرند. یک پیام باجخواهی طولانیتر به عنوان یک پنجره بازشو نمایش داده میشود. هیچ جزئیات اضافی را ارائه نمی دهد، به سادگی حاوی بخشی با هشدارهای مختلف است.
فایل متنی حاوی پیام زیر است:
تمام اطلاعات شما برای ما قفل شده است
میخوای برگردی؟
ایمیل dr.nemo@tutanota.com یا mr.helper@gmx.com را بنویسیدپنجره پاپ آپ دستورالعمل های زیر را نمایش می دهد:
فایل های شما رمزگذاری شده است
ZAQ
نگران نباشید، شما می توانید تمام فایل های خود را برگردانید!
اگر می خواهید آنها را بازیابی کنید، به ایمیل بنویسید: dr.nemo@tutanota.com شناسه شما -
اگر ظرف 12 ساعت از طریق پست پاسخ ندادید، با ایمیل دیگری برای ما بنویسید: mr.helper@gmx.comتوجه!
توصیه می کنیم برای جلوگیری از پرداخت بیش از حد نمایندگان، مستقیماً با ما تماس بگیریدنام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید. '