GonaCry Ransomware

GonaCry on kiristysohjelma, joka pystyy salaamaan tiedostoja, muuttamaan salattujen tiedostojen tiedostonimiä, muokkaamaan työpöydän taustakuvaa ja jättämään jälkeensä lunnaat 'read_it.txt'-tiedostona. GonaCry Ransomware liittää satunnaistetun 4-merkkisen laajennuksen jokaiseen salattuun tiedostonimeen. Esimerkiksi tiedosto nimeltä "1.jpg" voidaan nimetä uudelleen muotoon "1.jpg.h863", kun taas tiedosto nimeltä "2.doc" voidaan muuttaa muotoon "2.doc.i9as". Tämä nimeämiskäytäntö auttaa hyökkääjiä tehdä ero salattujen ja salaamattomien tiedostojen välillä.

Yleiskatsaus GonaCry Ransomwaren vaatimuksiin

Lunnasviesti ilmoittaa uhreille, että GonaCry Ransomware on vaarantunut heidän käyttöjärjestelmänsä, minkä vuoksi kaikki tiedostot eivät ole käytettävissä. Hyökkäyksen tekijät tarjoutuvat myymään erikoistuneita salauksenpurkuohjelmistoja, joiden väitetään palauttavan vaikutuksen kohteena olevat tiedostot ja poistavan kiristysohjelman.

Salauksenpurkuohjelmiston hinta on 50 dollaria, ja se on maksettava kryptovaluuttana Monero. Lunnasmaksu tulee suorittaa käyttämällä hyökkääjien ohjeissa annettua Monero-salauslompakko-osoitetta.

Tyypillinen taktiikka, jota käytetään hajautettuihin uhkiin, kuten GonaCry Ransomware

Ransomware leviää tyypillisesti tietojenkalasteluviestien, vioittuneiden liitteiden ja drive-by-latausten kautta. Tietojenkalasteluviestit ovat viestejä, jotka näyttävät olevan peräisin luotettavasta lähteestä, mutta todellisuudessa sisältävät vioittun linkin tai liitteen, joka avattaessa saastuttaa uhrin laitteen kiristysohjelmalla. Vioittuneet liitteet ovat sähköpostin osana lähetettyjä tiedostoja, jotka vaikuttavat aidoilta mutta sisältävät haittaohjelmia. Drive-by-lataukset ovat vioittuneita tiedostoja, jotka ladataan automaattisesti uhrin laitteelle, kun hän vierailee tartunnan saaneella verkkosivustolla.

Toinen yleinen menetelmä kiristysohjelmien levittämiseen on ohjelmistojen ja käyttöjärjestelmien haavoittuvuuksien hyödyntäminen. Hyökkääjät etsivät työkaluja korjaamattomia järjestelmiä ja käyttävät sitten löydettyjä haavoittuvuuksia kiristysohjelman asentamiseen. Lisäksi jotkut hyökkääjät käyttävät myös vertaisverkkoja ja sosiaalisen manipuloinnin tekniikoita kiristysohjelmien levittämiseen. Joissakin tapauksissa hyökkääjät voivat myös käyttää muita haittaohjelmia, kuten troijalaisia, asentaakseen kiristysohjelmia uhrin laitteelle.

Kiristysohjelmien levitykseen käytettävät menetelmät kehittyvät jatkuvasti ja uusia tekniikoita kehitetään koko ajan. Siksi on erittäin tärkeää pysyä ajan tasalla uusimmista uhista ja ryhtyä toimiin suojautuakseen niitä vastaan, kuten päivittää säännöllisesti ohjelmistoja ja käyttöjärjestelmiä, välttää epäilyttäviä linkkejä tai liitteitä napsauttamalla ja toteuttaa vahvoja tietoturvakäytäntöjä.

GonaCry Ransomwaren tartunnan saaneille laitteille jättämän lunnaita koskevan huomautuksen sisältö on:

'----> GonaCry on monikielinen kiristysohjelma. Käännä muistiinpanosi mille tahansa kielelle <----
Kaikki tiedostosi on salattu
Tietokoneesi on saastunut ransomware-viruksella. Tiedostosi on salattu, etkä salaa
voi purkaa niiden salauksen ilman apuamme. Mitä voin tehdä saadakseni tiedostoni takaisin?Voit ostaa erikoistarjouksemme
salauksenpurkuohjelmisto, tämän ohjelmiston avulla voit palauttaa kaikki tietosi ja poistaa
lunnasohjelmat tietokoneeltasi. Ohjelmiston hinta on 50 dollaria. Maksu voidaan suorittaa vain Monerossa.
Kuinka maksan, mistä saan Moneron?
Bitcoinin ostaminen vaihtelee maittain, joten sinun on parasta tehdä nopea google-haku
itse selvittääksesi kuinka ostaa Monero.
Monet asiakkaamme ovat ilmoittaneet nämä sivustot nopeiksi ja luotettaviksi:
Localmonero - hxxps://localmonero.co/

MaksutiedotSumma: 0,27 XMR
XMR-osoite: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

Työpöydän taustana näkyvä viesti on:

!! HUOMIO !!

TIEDOSTOSI ON SALATU!

Kaikki asiakirjasi valokuvat, tietokannat ja muut tärkeät tiedostot on salattu RSA-salauksella.

Et voi palauttaa tiedostoasi ilman yksityistä avainta, joka on tallennettu palvelimellemme.

Virustorjunta ei voi palauttaa tiedostojasi

Lähetä 50 $ arvoinen BTC tähän osoitteeseen:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5

Tai lähetä 50 $ arvoinen XMR tähän osoitteeseen:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'