NORD Ransomware
NORD Ransomware è una potente minaccia per gli armadietti crittografici. Sebbene non sia del tutto unico, i ricercatori di infosec hanno stabilito che NORD Ransomware è una variante WannaScream che, in nessun modo, ha diminuito le sue capacità distruttive. In effetti, le vittime della minaccia verranno improvvisamente bloccate fuori dai propri computer e non saranno in grado di accedere o utilizzare nessuno dei loro file.
Come parte del suo processo di crittografia, NORD Ransomware cambierà i nomi dei file che influenza drasticamente. La minaccia aggiungerà una stringa ID univoca al nome originale del file, seguita da un indirizzo e-mail controllato dagli hacker e infine ".NORD" come nuova estensione di file. L'indirizzo email è "decryptfilekhoda@protonmail.com". Due diverse richieste di riscatto verranno rilasciate sui sistemi compromessi. Uno verrà visualizzato in una finestra pop-up (info.hta), mentre l'altro sarà all'interno di file di testo (ReadMe.txt) creati in ogni cartella contenente dati crittografati.
Le istruzioni trovate nei file di testo sono estremamente brevi. Dicono semplicemente alle vittime di contattare gli hacker tramite i canali di comunicazione forniti. Sebbene il modello WannaScream per la richiesta di riscatto includa un account Telegram e un indirizzo email secondario, i criminali responsabili del NORD Ransomware non si sono preoccupati di includerli. L'unico modo per stabilire una comunicazione disponibile per le vittime della minaccia è inviare un'e-mail al suddetto "decryptfilekhoda@protonmail.com". La richiesta di riscatto dalla finestra pop-up fornisce un po 'più di dettagli. Sebbene non menziona la somma esatta richiesta dagli hacker, afferma che la potenziale transazione deve essere effettuata utilizzando bitcoin. Consente inoltre agli utenti interessati di allegare fino a 5 file che non superano una dimensione totale di 4 MB al messaggio di posta elettronica da decrittografare gratuitamente.
Il testo completo dei file "ReadMe.txt" è:
"[+] Tutti i tuoi file sono stati crittografati [+]
[-] Vuoi davvero ripristinare i tuoi file?
[+] Scrivici all'e-mail: decryptfilekhoda@protonmail.com
[+] Scrivici a ID-Telegram:
[+] Se non hai ricevuto risposta fino a 24 ore dopo, scrivi a questa email: decryptfilekhoda@protonmail.com
[-] Scrivi il tuo ID univoco nel titolo del messaggio.
[+] ID univoco: "
Il set completo di istruzioni della richiesta di riscatto "info.hta" include:
'Tutti i tuoi file sono stati crittografati da Wanna Scream!
a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'email decryptfilekhoda@protonmail.com
Scrivi questo ID nel titolo del tuo messaggio: -
In caso di mancata risposta entro 24 ore scrivici a questa e-mail: decryptfilekhoda@protonmail.com
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decodificherà tutti i tuoi file.
Decrittazione gratuita come garanzia
Prima di pagare puoi inviarci fino a 5 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 MB (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli Excel di grandi dimensioni, ecc.)
Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore per metodo di pagamento e prezzo.
hxxps: //localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti per acquistare Bitcoin e guida per principianti qui:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittografia dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro commissione alla nostra) o puoi diventare vittima di una truffa. '
