GonaCry Ransomware
GonaCry er løsepengeprogramvare som har evnen til å kryptere filer, endre filnavnene til de krypterte filene, modifisere skrivebordsbakgrunnen og legge igjen en løsepengenotat i form av en 'read_it.txt'-fil. GonaCry Ransomware legger til en randomisert utvidelse på 4 tegn til hvert av de krypterte filnavnene. For eksempel kan en fil med navnet '1.jpg' få nytt navn til '1.jpg.h863', mens en fil med navnet '2.doc' kan endres til '2.doc.i9as'. Denne navnekonvensjonen hjelper angriperne skille mellom krypterte og ukrypterte filer.
En oversikt over GonaCry Ransomwares krav
Løsepengene informerer ofrene om at operativsystemet deres har blitt kompromittert av GonaCry Ransomware, noe som fører til at alle filer blir utilgjengelige. Gjerningsmennene til angrepet tilbyr å selge spesialisert dekrypteringsprogramvare som de hevder vil gjenopprette de berørte filene og eliminere løsepengevaren.
Kostnaden for dekrypteringsprogramvaren er priset til $50 og må betales i Monero, en kryptovaluta. Løsepengene skal gjøres ved å bruke Monero krypto-lommebok-adressen oppgitt i angripernes instruksjoner.
Typisk taktikk som brukes til å distribuere trusler som GonaCry Ransomware
Ransomware spres vanligvis gjennom phishing-e-poster, ødelagte vedlegg og drive-by-nedlastinger. Phishing-e-poster er meldinger som ser ut til å være fra en pålitelig kilde, men som i virkeligheten inneholder en ødelagt lenke eller vedlegg som, når den åpnes, infiserer offerets enhet med løsepengeprogramvare. Ødelagte vedlegg er filer sendt som en del av en e-post som virker legitime, men som inneholder skadelig programvare. Drive-by-nedlastinger er ødelagte filer som automatisk lastes ned til et offers enhet når de besøker et infisert nettsted.
En annen vanlig metode for distribusjon av løsepenger er gjennom utnyttelse av sårbarheter i programvare og operativsystemer. Angripere bruker verktøy for å søke etter uopprettede systemer og deretter bruke de funnet sårbarhetene til å installere løsepengevaren. I tillegg bruker noen angripere også peer-to-peer-nettverk og sosiale ingeniørteknikker for å spre løsepengevare. I noen tilfeller kan angriperne også bruke annen skadelig programvare, for eksempel trojanere, for å installere løsepengevare på et offers enhet.
Metodene som brukes for ransomware-distribusjon er i stadig utvikling, og nye teknikker utvikles hele tiden. Derfor er det avgjørende å holde seg informert om de siste truslene og ta skritt for å beskytte mot dem, for eksempel å regelmessig oppdatere programvare og operativsystemer, unngå å klikke på mistenkelige lenker eller vedlegg og implementere sterk sikkerhetspraksis.
Innholdet på løsepengene som er igjen på de infiserte enhetene av GonaCry Ransomware er:
'----> GonaCry er løsepengevare på flere språk. Oversett notatet til et hvilket som helst språk <----
Alle filene dine er kryptert
Datamaskinen din ble infisert med et løsepengevirus. Filene dine er kryptert, og du vil ikke
kunne dekryptere dem uten vår hjelp.Hva kan jeg gjøre for å få tilbake filene mine?Du kan kjøpe spesialtilbudet vårt
dekrypteringsprogramvare, vil denne programvaren tillate deg å gjenopprette alle dataene dine og fjerne
løsepengevare fra datamaskinen din. Prisen for programvaren er $50. Betaling kan kun gjøres i Monero.
Hvordan betaler jeg, hvor får jeg Monero?
Kjøp av Bitcoin varierer fra land til land, det er best å gjøre et raskt google-søk
selv for å finne ut hvordan du kjøper Monero.
Mange av våre kunder har rapportert at disse nettstedene er raske og pålitelige:
Localmonero - hxxps://localmonero.co/BetalingsinformasjonBeløp: 0,27 XMR
XMR-adresse: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74QkMeldingen som vises som skrivebordsbakgrunn er:
!! MERK FØLGENDE !!
DINE FILER ER KRYPTERT!
Alle dine dokumentbilder, databaser og andre viktige filer er kryptert med RSA-kryptering.
Du vil ikke kunne gjenopprette filen uten den private nøkkelen som er lagret på serveren vår.
Et antivirus kan ikke gjenopprette filene dine
Send BTC verdt 50$ til denne adressen:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5Eller send XMR verdt 50$ til denne adressen:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'
