Gilfillan Ransomware
De Gilfillan Ransomware is geïdentificeerd als een variant die afkomstig is uit de VoidCrypt-malwarefamilie. Dit feit doet echter niets af aan het vermogen van de dreiging om aanzienlijke schade aan te richten aan de computers en apparaten die het weet te infecteren. De coderingsroutine van de Gilfillan Ransomware is inderdaad voldoende om een groot aantal bestandstypen te beïnvloeden en ze in een volledig onbruikbare staat te laten.
Bovendien zullen de slachtoffers merken dat de oorspronkelijke naam van elk getroffen bestand in belangrijke mate is gewijzigd. De dreiging genereert een ID-string voor elk slachtoffer en voegt deze toe aan de namen van de vergrendelde bestanden. Hierna volgt een e-mailadres dat wordt beheerd door de aanvallers. Eindelijk een nieuwe bestandsextensie - '.Gilfillan.' zal worden bijgevoegd. Instructies voor de getroffen gebruikers worden in twee verschillende vormen aan de systemen geleverd - als een tekstbestand met de naam 'Decryption-Guide.txt' en een 'Decryption-Guide.HTA'-bestand.
Details van losgeldbrief
De berichten waarin losgeld wordt gevraagd in beide bronnen zijn volledig identiek. Ze instrueren slachtoffers dat de vergrendelde bestanden nog steeds kunnen worden hersteld, maar alleen via de decoderingstool en sleutel die de aanvallers bezitten. Om ze te krijgen, wordt van de slachtoffers verwacht dat ze losgeld betalen, waarbij over de exacte prijs wordt onderhandeld. Als potentieel communicatiekanaal bieden de hackers één enkel e-mailadres - 'PaulGilfillan@cyberfear.com'. Als bijlage bij het bericht moet een bestand zijn gemaakt door de Gilfillan Ransomware op de gecompromitteerde systemen. De naam van het bestand kan lijken op 'KEY-SE-24r6t523' of 'RSAKEY.KEY' en zou zich normaal gesproken in de map C:/ProgramData moeten bevinden. Zonder de informatie in dit bestand kunnen zelfs de hackers de decodering van de gegevens van de slachtoffers niet voltooien.
De volledige set instructies achtergelaten door Gilfillan Ransomware is:
' Uw bestanden zijn vergrendeld '
Uw bestanden zijn versleuteld met een cryptografie-algoritme
Als je je bestanden nodig hebt en ze zijn belangrijk voor je, wees dan niet verlegen Stuur me een e-mail
Stuur testbestand + het sleutelbestand op uw systeem (bestand bestaat in C:/ProgramData-voorbeeld: KEY-SE-24r6t523 of RSAKEY.KEY) om ervoor te zorgen dat uw bestanden kunnen worden hersteld
Maak een prijsafspraak met mij en betaal
Ontvang decoderingstool + RSA-sleutel EN instructie voor het decoderingsproces
Aandacht:
1- Hernoem of wijzig de bestanden niet (u kunt dat bestand kwijtraken)
2- Probeer geen apps of hersteltools van derden te gebruiken (als u dat wilt, maak dan een kopie van bestanden en probeer ze en verspil uw tijd)
3- Installeer het besturingssysteem niet opnieuw (Windows) U kunt het sleutelbestand kwijtraken en uw bestanden kwijtraken
4-Vertrouw niet altijd op tussenpersonen en onderhandelaars (sommige zijn goed, maar sommige zijn het bijvoorbeeld eens over 4000 usd en vroegen 10000 usd van de klant) dit is gebeurdUw Case-ID:
Onze e-mail:PaulGilfillan@cyberfear.com .'
