Pysa Ransomware

Pysa Ransomware Kuvaus

Pysa Ransomware on yksi uusimmista ransomware-uhista. Kun Pysa Ransomwarea havainneet kyberturvallisuustutkijat tutkivat sitä syvemmälle, he huomasivat, että tämä uhka kuuluu Mespinoza Ransomware- perheeseen. Useimmat lunastusohjelmauhat toimivat melko samalla tavalla - ne tunkeutuvat kohdistettuun järjestelmään, salaavat siinä olevat tiedot ja pyytävät sitten uhria maksamaan lunastusmaksun salausavaimen saamiseksi, jonka on tarkoitus avata tiedostot, joita asia koskee. . Ransomware-kirjoittajat vaativat useimmiten melko moitteettoman summan, harvoin vähemmän kuin useita satoja dollareita.

Leviäminen ja salaus

Monet ransomware-uhkien luojat käyttävät joukko roskapostikampanjoita levittääkseen tiedostoa salaavia troijalaisia. Yleensä tämä tapahtuu sähköpostitse, joka sisältää väärennetyn viestin, jonka tarkoituksena on vakuuttaa kohde käynnistämään näennäisesti vaaraton liite. Valitettavasti liitetiedosto on yleensä makrosidottu ja vaarantaisi heidän järjestelmänsä sen suorittamisen yhteydessä. On olemassa useita muita tartuntavektoreita, jotka ovat melko suosittuja työkaluja tämän luokan uhkien levittämiseen - petolliset ohjelmistolataukset ja päivitykset, vääriä laittomia kopioita suosituista sovelluksista tai medioista, torrent-jäljittäjiä jne. Pysa Ransomware varmistaa salaavan suuren määrän erilaisia suositut tiedostotyypit, joita todennäköisesti löytyy minkä tahansa tavallisen käyttäjän tietokoneelta - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .dxx, .ppt, .rar, .xls, .xlsx jne. Kun Pysa Ransomware käyttää salausalgoritmiaan ja lukitsee kohdetiedot, kaikki asiaan liittyvät tiedostot tehdään käyttökelvottomaksi. Laajennus, jonka Pysa Ransomware liittää vasta lukittuihin tiedostoihin, on .pysa. Esimerkiksi audiotiedostolle, jota kutsuttiin nimellä “shining-lights.mp3” ennen hyökkäystä, olisi sen nimi muuttunut nimellä “shining-lights.mp3.pysa”, kun tämä dataa lukitseva troijalainen salaa sen.

Ransom-huomautus

Kun salausprosessi on saatu päätökseen, Pysa Ransomware pudottaa lunastusviestinsä tiedostoon nimeltä 'Readme.README.txt'. Muistiinpanon teksti on seuraava:

"Hei yritys,

Jokainen tavu kaikentyyppisissä laitteissasi oli salattu.
Älä yritä käyttää varmuuskopioita, koska ne olivat myös salattuja.
Jos haluat saada kaikki tietosi takaisin, ota meihin yhteyttä:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
FAQ:
1.
K: Kuinka voin varmistaa, ettet huijaa minua?
V: Voit lähettää meille 2 tiedostoa (enintään 2 MB).
2.
K: Mitä tehdä, jotta kaikki tiedot saadaan takaisin?
V: Älä käynnistä tietokonetta uudelleen, älä siirrä tiedostoja ja kirjoita meille.
3.
K: Mitä kertoa pomolleni?
V: Suojaa järjestelmäsi Amigo. '

Lunastusviestissä hyökkääjät tekevät selväksi, että käyttäjän tiedot ovat vaarantuneet ja että heidän on maksettava lunastusmaksu, jos he haluavat palauttaa tietonsa. Pysa Ransomware: n kirjoittajat toteavat, että he avaavat kaksi tiedostoa ilmaiseksi, kunhan ne eivät ole kooltaan suurempia kuin 2 Mt. Tämän on tarkoitus toimia todisteena siitä, että hyökkääjillä on toimiva salauksen purkutyökalu, joka pystyy kääntämään uhrin tietoihin aiheutuneet vahingot. Uhreja vaaditaan ottamaan yhteyttä hyökkääjiin sähköpostitse, ja tarjolla on kaksi sähköpostiosoitetta - 'aireyeric@protonmail.com' ja 'ellershaw.kiley@protonmail.com.'
Se on hyvä tapa pitää etäisyys varjoisista verkkokrokeista kuten Pysa Ransomwaren luojat. Usein jopa käyttäjät, jotka luovuttavat ja maksavat vaaditun lunastusmaksun, jätetään tyhjin käsin, kun hyökkääjät eivät koskaan lähetä heille luvattua salauksen purkuavainta. Siksi sinun pitäisi ladata ja asentaa laillinen vakoiluohjelmien torjuntaohjelma, joka pyyhkii Pysa Ransomware -järjestelmän järjestelmästä ja varmistaa, että et löydä itseäsi tulevaisuuden tarttuvassa tilanteessa.