Pysa Ransomware

A Pysa Ransomware az egyik legújabb felfedezett ransomware fenyegetés. Miután a kiberbiztonsági kutatók, akik észrevették a Pysa Ransomware-t, mélyebben megvizsgálták, rájöttek, hogy ez a fenyegetés a Mespinoza Ransomware családhoz tartozik. A legtöbb ransomware-fenyegetés meglehetősen azonos módon működik - behatolnak egy célzott rendszerbe, titkosítják a rajta található adatokat, majd felszólítják az áldozatot, hogy fizesse meg váltságdíjat, hogy megszerezzék a dekódoló kulcsot, amelynek állítólag fel kell szabadulnia az érintett fájlokat. . Gyakran előfordul, hogy a ransomware szerzői meglehetősen izmos összeget, ritkán kevesebb, mint több száz dollárt igényelnének.

Terjesztés és titkosítás

A ransomware fenyegetések sok alkotója úgy dönt, hogy tömeges spam e-mail kampányokat használ a fájlokat titkosító trójaiak terjesztésére. Általában erre egy e-maillel kerül sor, amely hamis üzenetet tartalmaz, amelynek célja a célpont meggyőzése a látszólag ártalmatlan melléklet elindításáról. Sajnos a melléklet általában makroszkóposan fűződik, és a végrehajtásakor veszélyeztetné a rendszerüket. Számos egyéb fertőzésvektor is meglehetősen népszerű eszköz az osztályba tartozó fenyegetések terjesztésére - csalárd szoftverletöltések és -frissítések, népszerű alkalmazások vagy médiumok hamis kalóz példányai, torrent-követők stb. A Pysa Ransomware gondoskodni fog arról, hogy a népszerű fájltípusok, amelyek valószínűleg minden szokásos felhasználó PC-jén megtalálhatók - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .dxx, .ppt, .rar, .xls, .xlsx stb. Miután a Pysa Ransomware alkalmazza a titkosítási algoritmust és lezárja a célzott adatokat, az összes érintett fájl használhatatlanná válik. A kiterjesztés, amelyet a Pysa Ransomware az újonnan lezárt fájlokhoz csatol, '.pysa'. Például egy olyan hangfájl, amelyet a támadás elõtt 'shining-lights.mp3' néven hívtak meg, a neve 'shining-lights.mp3.pysa' lett volna, ha ez az adatzároló trójai titkosítja.

A Ransom jegyzet

A titkosítási folyamat befejezése után a Pysa Ransomware a „Readme.README.txt" nevű fájlba dobja váltságdíjas üzenetét. A feljegyzés így szól:

"Szia Cég!

Bármelyik eszközének minden bájtja titkosítva volt.
Ne próbáljon biztonsági másolatot használni, mert az is titkosítva volt.
Az összes adat visszaszerzéséhez vegye fel velünk a kapcsolatot:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
GYIK:
1.
K: Hogyan biztosíthatom, hogy ne bolondozzon?
V: 2 fájlt küldhet nekünk (legfeljebb 2 MB).
2.
K: Mi a teendő az összes adat visszaszerzéséhez?
V: Ne indítsa újra a számítógépet, ne mozgassa a fájlokat és írjon nekünk.
3.
K: Mit mondjak a főnökömnek?
V: Védje rendszer Amigo-ját. '

A váltságdíjas üzenetben a támadók világossá teszik, hogy a felhasználó adatai sérültek, és hogy váltsanak váltságdíjat, ha vissza akarják szerezni az adataikat. A Pysa Ransomware szerzői kijelentették, hogy ingyenesen kinyit két fájlt, feltéve, hogy nem haladják meg a 2 MB-ot. Ennek célja annak bizonyítása, hogy a támadók rendelkeznek működő dekódoló eszközzel, amely képes visszafordítani az áldozat adatainak okozott károkat. Az áldozatoknak e-mailen keresztül kell felvenniük a kapcsolatot a támadókkal, és két e-mail cím van megadva - „aireyeric@protonmail.com" és „ellershaw.kiley@protonmail.com".
Jó intézkedés, ha távol tartod az árnyékos számítógépes csalóktól, mint például a Pysa Ransomware alkotói. Gyakran még azokat a felhasználókat is, akik megadják és fizetik a kért váltságdíjat, üres kézzel hagyják, amikor a támadók soha nem küldik meg nekik az ígért dekódolási kulcsot. Ezért kell letöltenie és telepítenie egy legitim kémprogram-elhárító programcsomagot, amely megtisztítja a Pysa Ransomware rendszert, és biztosítja, hogy a jövőben ne kerüljön ebbe a ragacsos helyzetbe.