Gilfillan Ransomware
Gilfillan Ransomware har blitt identifisert som en variant som stammer fra VOidCrypt malware-familien. Dette faktum reduserer imidlertid ikke trusselens kapasitet til å forårsake betydelig skade på datamaskinene og enhetene den klarer å infisere. Faktisk er krypteringsrutinen til Gilfillan Ransomware tilstrekkelig til å påvirke et stort utvalg av filtyper og la dem være i en fullstendig ubrukelig tilstand.
I tillegg vil ofre legge merke til at hver berørt fil har fått sitt opprinnelige navn endret i betydelig grad. Trusselen genererer en ID-streng for hvert offer og legger den til i navnene på de låste filene. Etter den er en e-postadresse kontrollert av angriperne. Til slutt, en ny filtype - '.Gilfillan.' vil bli vedlagt. Instruksjoner for de berørte brukerne vil bli levert til systemene i to forskjellige former - som en tekstfil kalt 'Decryption-Guide.txt' og en 'Decryption-Guide.HTA'-fil.
Ransom Notes detaljer
De løsepengekrevende meldingene i begge kildene er helt identiske. De instruerer ofrene om at de låste filene fortsatt kan gjenopprettes, men bare via dekrypteringsverktøyet og nøkkelen som angriperne besitter. For å få dem, forventes ofrene å betale løsepenger med den nøyaktige prisen som blir gjenstand for forhandlinger. Som en potensiell kommunikasjonskanal oppgir hackerne én enkelt e-postadresse - 'PaulGilfillan@cyberfear.com.' Vedlagt meldingen må det være en fil opprettet av Gilfillan Ransomware på de kompromitterte systemene. Navnet på filen kan være lik 'KEY-SE-24r6t523' eller 'RSAKEY.KEY' og bør vanligvis være plassert i C:/ProgramData-katalogen. Uten informasjonen i denne filen, vil selv ikke hackerne kunne fullføre dekrypteringen av ofrenes data.
Hele settet med instruksjoner etterlatt av Gilfillan Ransomware er:
' Filene dine har blitt låst
Filene dine har blitt kryptert med kryptografialgoritme
Hvis du trenger filene dine og de er viktige for deg, ikke vær sjenert, send meg en e-post
Send testfil + nøkkelfilen på systemet ditt (fil finnes i C:/ProgramData eksempel: KEY-SE-24r6t523 eller RSAKEY.KEY) for å sikre at filene dine kan gjenopprettes
Lag en avtale om pris med meg og betal
Få dekrypteringsverktøy + RSA-nøkkel OG instruksjon for dekrypteringsprosess
Merk følgende:
1- Ikke gi nytt navn eller endre filene (du kan miste den filen)
2- Ikke prøv å bruke tredjepartsapper eller gjenopprettingsverktøy (hvis du vil gjøre det, ta en kopi fra filer og prøv dem og kast bort tiden din)
3-Ikke installer operativsystemet på nytt (Windows) Du kan miste nøkkelfilen og miste filene dine
4-Ikke alltid stol på mellommenn og forhandlere (noen av dem er gode, men noen av dem er enige om 4000usd for eksempel og spurte 10000usd fra klienten) dette skjeddeDin saks-ID:
Vår e-post: PaulGilfillan@cyberfear.com .'
