SHTORM Ransomware
SHTORM je vrsta ransomwarea koji šifrira datoteke na zaraženim računalima i zahtijeva plaćanje u zamjenu za ključ za dešifriranje. Prve instance SHTORM-a otkrivene su 2019. godine i od tada je odgovoran za brojne napade diljem svijeta. Ransomware SHTORM pripada obitelji prijetnji Phobos Ransomware .
Sadržaj
Kako SHTORM Ransomware ulazi u računalo
SHTORM Ransomware obično se isporučuje putem torrent web stranica, kompromitirane e-pošte, nesigurnih reklama ili ranjivosti u softveru na računalu žrtve. Nakon instaliranja, skenirat će računalo u potrazi za određenim vrstama datoteka za šifriranje, kao što su dokumenti, slike i arhive. Šifrirane datoteke preimenovane su s jedinstvenim nastavkom, '.SHTORM', a dvije bilješke o otkupnini pod nazivom info.hta i info.txt ostavljene su u svakoj mapi koja sadrži šifrirane datoteke.
Obavijest o otkupnini koju je dostavio SHTORM Ransomware
Obavijest o otkupnini obično sadrži upute o tome kako platiti otkupninu, koja se obično traži u bitcoinima ili drugoj kriptovaluti. Također pruža sredstva za kontaktiranje napadača radi pregovaranja o otkupnini, u ovom slučaju adrese mjk20@tutanota.com (E-pošta), @Stop_24 (Telegram), Tox messenger.
Kao i druge vrste ransomwarea, SHTORM može uzrokovati značajne poremećaje i financijske gubitke za tvrtke i pojedince. Stoga je bitno poduzeti korake za sprječavanje infekcije, kao što je ažuriranje softvera, korištenje jakih lozinki i oprez pri otvaranju e-pošte i privitaka nepoznatih pošiljatelja. Dodatno, preporučuje se redovito sigurnosno kopiranje ključnih datoteka i njihovo pohranjivanje na sigurno mjesto u slučaju napada ransomwarea.
Kako reagirati u slučaju infekcije SHTORM Ransomwareom
Ako se vaše računalo zarazi SHTORM Ransomwareom, prvi korak je da ga odmah isključite s interneta. To će spriječiti daljnje širenje zaraze i zaustaviti šifriranje dodatnih podataka. Također biste trebali pokrenuti anti-malware skeniranje na vašem sustavu kako biste otkrili zlonamjerne datoteke koje su mogle biti korištene u napadu.
Nakon što ste sigurni da vaš sustav više nije povezan s internetom, pokušajte identificirati koje je datoteke šifrirao SHTORM. Ako je moguće, napravite sigurnosnu kopiju ovih šifriranih datoteka na vanjski uređaj za pohranu ili uslugu pohrane u oblaku kako ih ne biste potpuno izgubili ako odlučite ne platiti zahtjev za otkupninu.
Nikada ne biste trebali pokušati platiti zahtjev za otkupninu jer nema jamstva da ćete nakon plaćanja dobiti ključ za dešifriranje ili čak otključati sve svoje šifrirane datoteke. Umjesto toga, obratite se stručnjaku za sigurnost koji vam može pomoći u procjeni situacije i dati savjet kako najbolje postupiti. Možda će moći oporaviti vaše datoteke bez plaćanja otkupnine.
Slijedi info.txt poruka o otkupnini koju je SHTORM Ransomware predstavio svojim žrtvama:
'Sve vaše datoteke su šifrirane!
Sve vaše datoteke su šifrirane zbog sigurnosnog problema s vašim računalom. Ako ih želite obnoviti, pišite nam na e-mail mjk20@tutanota.com
Upišite ovaj ID u naslov svoje poruke 9ECFA84E-3351
Ako ne dobijete odgovor u roku od 24 sata, kontaktirajte nas putem Telegram.org računa: @Stop_24
Ili nam pišite na TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
TOX messenger možete preuzeti ovdje hxxps://tox.chat/
Morate platiti dešifriranje u bitcoinima. Cijena ovisi o tome koliko brzo nam pišete. Nakon uplate poslat ćemo vam alat koji će dekriptirati sve vaše datoteke.
Besplatno dešifriranje kao jamstvo
Prije plaćanja možete nam poslati do 3 datoteke za besplatno dešifriranje. Ukupna veličina datoteka mora biti manja od 4Mb (nije arhivirano), a datoteke ne smiju sadržavati vrijedne informacije. (baze podataka, sigurnosne kopije, veliki excel listovi itd.)
Kako doći do Bitcoina
Najlakši način za kupnju bitcoina je stranica LocalBitcoins. Potrebno je registrirati se, kliknuti 'Kupi bitcoine', te odabrati prodavatelja po načinu plaćanja i cijeni.
hxxps://localbitcoins.com/buy_bitcoins
Također možete pronaći druga mjesta za kupnju Bitcoina i vodič za početnike ovdje:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Pažnja!
Nemojte preimenovati šifrirane datoteke.
Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka.
Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni dodaju svoju naknadu našoj) ili možete postati žrtva prijevare.'
Info.hta poruka o otkupnini glasi:
'!!!Sve vaše datoteke su šifrirane!!!
Da biste ih dešifrirali, pošaljite e-poštu na ovu adresu: mjk20@tutanota.com.
Ako se ne javimo u roku od 24h, pošaljite poruku na telegram: @Stop_24
Ili nam pišite na TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
