NMO Ransomware

איום תוכנת הכופר של NMO יכול לשמש פושעי סייבר כדי לנעול את הנתונים של הקורבנות שלהם. לאיום יש את היכולת להצפין סוגי קבצים רבים, בעוד האלגוריתם ההצפנה החזק מבטיח שכמעט בלתי אפשרי לשחזר את הקבצים הנעולים ללא מפתחות הפענוח הדרושים. לאחר ניתוח ה-NMO Ransomware, חוקרי infosec אישרו כי מדובר בגרסה ממשפחת התוכנות הזדוניות Dharma .

מלבד הצפנת הקבצים המאוחסנים במכשירים שנפרצו, האיום מייצר גם מחרוזת מזהה ספציפית לכל קורבן. NMO מצרפת את המחרוזת הזו לשמות המקוריים של הקבצים המוצפנים, ואחריה כתובת אימייל הנשלטת על ידי התוקפים. במקרה זה, האימייל הוא 'dr.nemo@tutanota.com.' לבסוף, '.NMO' יתווסף כסיומת קובץ חדשה.

האיום גם מספק שני שטרות כופר למערכות הנגועות. אחד מהם נשמט כקובץ טקסט בשם 'info.txt'. ההודעה שלו קובעת שמשתמשים שרוצים לקבל בחזרה את הקבצים שלהם חייבים ליצור קשר עם התוקפים על ידי שליחת הודעות 'dr.nemo@tutanota.com' או 'mr.helper@gmx.com'. הודעה ארוכה יותר הדורשת כופר תוצג כחלון מוקפץ. הוא לא מספק פרטים נוספים, פשוט מכיל קטע עם אזהרות שונות.

קובץ הטקסט מכיל את ההודעה הבאה:

כל הנתונים שלך ננעלו לנו
אתה רוצה לחזור?
כתוב דוא"ל dr.nemo@tutanota.com או mr.helper@gmx.com

החלון הקופץ הציג את ההוראות הבאות:

הקבצים שלך מוצפנים

ZAQ

אל תדאג, אתה יכול להחזיר את כל הקבצים שלך!
אם אתה רוצה לשחזר אותם, כתוב למייל: dr.nemo@tutanota.com המזהה שלך -
אם לא ענית בדואר תוך 12 שעות, כתוב לנו בדואר אחר:mr.helper@gmx.com

תשומת הלב!
אנו ממליצים לך לפנות אלינו ישירות כדי להימנע מתשלום יתר של סוכנים

אל תשנה את שמם של קבצים מוצפנים.
אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.
פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר (הם מוסיפים את העמלה שלהם לשלנו) או שאתה יכול להפוך לקורבן של הונאה. '