Pysa Ransomware

Rysomware Pysa jedna je od najnovijih otkrivenih prijetnji ransomware-om. Nakon što su istraživači kibernetičke sigurnosti koji su primijetili Pysa Ransomware, pogledali ga dublje, otkrili su da ta prijetnja pripada obitelji Mespinoza Ransomware . Većina prijetnji putem ransomwarea djeluju na prilično identičan način - infiltrirali bi se u ciljani sustav, šifrirali podatke koji su na njemu, a zatim bi od žrtve tražili da plati naknadu za otkupninu kako bi dobili ključ za dešifriranje, koji bi trebao otključati pogođene datoteke , Češće od toga, autori ransomwarea zahtijevali bi prilično veliku svotu, rijetko manju od nekoliko stotina dolara.

Širenje i šifriranje

Mnogi tvorci prijetnji protiv otkupne verzije odlučuju se koristiti masovne kampanje neželjene e-pošte za širenje svojih Trojanki za šifriranje datoteka. Obično se to radi s e-porukom koja sadrži lažnu poruku namijenjenu uvjeravanju cilja da pokrene naizgled bezopasnu privitak. Nažalost, privitak je obično makroovezan i kompromitira njihov sustav nakon njegovog izvršenja. Postoji nekoliko drugih vektora zaraze koji su prilično popularni alati za distribuciju prijetnji ove klase - lažni preuzimanja i ažuriranja softvera, lažne piratske kopije popularnih aplikacija ili medija, bujice tragača itd. Pysa Ransomware će osigurati šifriranje velikog broja popularne vrste datoteka koje se vjerojatno mogu naći na računalu bilo kojeg redovnog korisnika - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .docx, .ppt, .rar, .xls, .xlsx itd. Jednom kada Pysa Ransomware primijeni svoj algoritam šifriranja i zaključa ciljane podatke, sve datoteke koje su pogođene učinit će se neupotrebljivim. Proširenje koje Pysa Ransomware dodaje u novo zaključane datoteke je ".pysa." Na primjer, zvučna datoteka koja se prije napada dogodila pod nazivom "sjajna-svjetla.mp3" promijenila bi ime u "sjajna-svjetla.mp3.pysa" nakon što ga ovaj Trojan za zaključavanje podataka šifrira.

Otkupna napomena

Nakon završetka postupka šifriranja, Pysa Ransomware će svoju otkupnu poruku baciti u datoteku pod nazivom 'Readme.README.txt.' Bilješka glasi:

'Zdravo društvo,

Svaki bajt na svim vrstama vaših uređaja bio je šifriran.
Ne pokušavajte koristiti sigurnosne kopije jer su i one bile šifrirane.
Da biste vratili sve svoje podatke, kontaktirajte nas:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
PITANJA:
1.
P: Kako da se uvjerim da me ne zavaravate?
O: Možete nam poslati 2 datoteke (maksimalno 2MB).
2.
P: Što učiniti da biste dobili sve podatke natrag?
O: Nemojte ponovo pokrenuti računalo, ne premještati datoteke i pisati nam.
3.
P: Što da kažem svom šefu?
O: Zaštitite sustavni Amigo. '

U poruci o otkupnini napadači jasno navode da su podaci korisnika ugroženi i da će morati vratiti naknadu za otkup ako žele vratiti svoje podatke. Autori Pysa Ransomware navode da bi besplatno otključali dvije datoteke, sve dok nisu veće od 2 MB. Ovo bi trebalo poslužiti kao dokaz da napadači posjeduju radni alat za dešifriranje koji može preokrenuti štetu nanesenu na žrtvinim podacima. Žrtve su obvezne stupiti u kontakt s napadačima pomoću e-pošte, a pružaju se dvije adrese e-pošte - 'aireyeric@protonmail.com' i 'ellershaw.kiley@protonmail.com.'
Dobra je mjera držati se podalje od sjenovitih cyber lopova poput stvaralaca Pysa Ransomwarea. Često čak i korisnici koji popuštaju i plaćaju traženu naknadu za otkupninu ostaju praznih ruku kad im napadači nikad ne pošalju obećani ključ za dešifriranje. Zbog toga biste trebali preuzeti i instalirati zakoniti paket protiv špijunskog softvera koji će izbrisati Pysa Ransomware sa vašeg sustava i osigurati da se ubuduće ne nađete u ovoj ljepljivoj situaciji.