TurkStatik Ransomware

En ny ransomware-trussel dukket opp i naturen nylig. Navnet heter TurkStatik Ransomware. Denne trusselen ser ikke ut til å tilhøre noen av de populære ransomware-familiene hvis nye kopier vi ser hele tiden. Det som er annerledes med denne ransomware-trusselen, er at den ser ut til å være rettet mot tyrkiske brukere. Malware-forskere nådde denne konklusjonen etter å ha studert denne trusselen og lagt merke til at løsepengemeldingen er skrevet på flytende tyrkisk uten grammatiske eller stavefeil. Dette fikk dem til å tro at TurkStatik Ransomware ikke bare er skreddersydd for å målrette tyrkiske statsborgere, men det virker som om det også ble bygget av tyrkiske innfødte.

Formering og kryptering

TurkStatik Ransomware blir sannsynligvis forplantet via phishing-e-poster som prøver å lure brukeren til å åpne den ødelagte vedlagte filen som inneholder TurkStatik Ransomware-koden. Når TurkStatik Ransomware går på akkord med et system, vil den lete etter alle populære filtyper og bruke krypteringsalgoritmen for å låse dem. Denne ransomware-trusselen vil oppsøke bilder, lydfiler, videoer, regneark, arkiver, databaser, presentasjoner, dokumenter osv. Dette garanterer at TurkStatik Ransomware vil forårsake så mye skade på verten som mulig. Når krypteringsprosessen er ferdig, vil brukeren legge merke til at filnavnene på de låste filene er endret. TurkStatik Ransomware bruker en ". Chifferet" utvidelse på slutten av navnene på de berørte filene. For eksempel vil en fil som ble kalt 'rose-ash.jpeg' før angrepet, bli omdøpt til 'rose-ash.jpeg.ciphered' etter at operasjonen er fullført.

Ransom-merknaden

Løsemeldingen til TurkStatik Ransomware lagres i en fil som heter 'README_DONT_DELETE.txt' som vil bli slettet på brukerens skrivebord. Forfatterne av TurkStatik Ransomware gjør det klart at løsepengeravgiften vil bli krevd i form av Bitcoin, men unnlater å nevne den spesifikke summen. Det er sannsynlig at de vil avsløre løsepengeravgiften så snart offeret tar kontakt med dem. Angriperne gir ut to e-postadresser der offeret kan komme i kontakt med dem og motta ytterligere instruksjoner - 'decservice@mail.ru' og 'recoverydbservice@protonmail.com.'

Den gode nyheten for brukerne som har blitt offer for denne ekle trusselen, er at eksperter innen cybersikkerhet har knekt denne ransomware-trusselen og gitt ut en offentlig tilgjengelig dekrypteringsnøkkel som kan nås med et enkelt Google-søk. Dessverre betyr ikke dette at TurkStatik Ransomware har blitt kastrert fullstendig. Forfatterne av denne fillåsen Trojan kan oppdatere trusselen og endre krypteringsrutinen. Foreløpig har brukerne som blir smittet med TurkStatik Ransomware et fri ut av fengselet og trenger ikke å samarbeide med cyber-skurkene. Selv om det ikke var tilgjengelige gratis dekrypteringsverktøy, vil vi imidlertid anbefale deg å ta kontakt med nettkriminelle som de som står bak TurkStatik Ransomware, da ingenting godt kan komme ut av det.