Gac Ransomware
De Gac Ransomware is een krachtige crypto-locker-bedreiging waarvan is vastgesteld dat deze behoort tot de beruchte en uiterst productieve Dharma Ransomware-familie. Gac wijkt weinig af van de standaard Dharmavariant. De meest onderscheidende aspecten zijn de e-mailadressen die worden gebruikt als communicatiekanaal en de unieke extensie die het toevoegt aan de namen van gecodeerde bestanden.
Het coderingsproces van de Gac Ransomware is sterk genoeg om ervoor te zorgen dat de slachtoffers geen toegang hebben tot hun bestanden die zijn opgeslagen op het gecompromitteerde computersysteem of deze niet kunnen gebruiken. Volgens het typische Dharmapatroon verandert Gac ook de namen van de bestanden die het drastisch beïnvloedt. Het voegt een reeks tekens toe die de unieke ID aangeven die aan het specifieke slachtoffer is toegewezen, gevolgd door een e-mailadres en tenslotte '.gac' als een nieuwe extensie. Het e-mailadres is 'getacrypt@tuta.io.' Opnieuw volgend op het gedrag van typische door Dharma voortgebrachte ransomware, levert Gac twee verschillende losgeldnota's. Eerst worden tekstbestanden met de naam 'FILES ENCRYPTED.txt' in elke map met gecodeerde gegevens geplaatst. De belangrijkste opmerking wordt echter weergegeven in een pop-upvenster.
Het openen van de tekstbestanden die door de dreiging zijn gemaakt, levert de getroffen gebruikers weinig nuttige informatie op, aangezien de tekst erin hen eenvoudig vertelt contact op te nemen met het bovengenoemde 'getacrypt@tuta.io' of een secundair adres op 'getacrypt@airmail.cc'. In het pop-upvenster staat dat het reserve-e-mailadres alleen mag worden gebruikt als slachtoffers geen antwoord van de hackers ontvangen binnen 12 uur nadat ze een bericht naar de primaire e-mail hebben gestuurd. Er worden ook verschillende waarschuwingen vermeld - getroffen gebruikers dienen zich te onthouden van het wijzigen van de namen van de gecodeerde bestanden of het gebruik van oplossingen van derden om te proberen ze te decoderen.
De volledige tekst in de 'FILES ENCRYPTED.txt'-bestanden is:
'al uw gegevens zijn vergrendeld
U wilt terugkeren?
schrijf een e-mail getacrypt@tuta.io of getacrypt@airmail.cc. '
De losgeldbrief die in het pop-upvenster wordt weergegeven, is:
'UW BESTANDEN ZIJN VERSLEUTELD
Maakt u zich geen zorgen, u kunt al uw bestanden retourneren!
Als u ze wilt herstellen, volgt u deze link: e-mail getacrypt@tuta.io UW ID 1E857D00
Als je binnen 12 uur geen antwoord hebt gekregen via de link, schrijf ons dan per e-mail: getacrypt@airmail.cc
Aandacht!
Wijzig de naam van versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het ontsleutelen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (zij voegen hun vergoeding toe aan ons) of u kunt het slachtoffer worden van oplichting. '
