NaS-ransomware

Cybercriminelen creëren nog steeds nieuwe ransomware-bedreigingen op basis van de Dharma-malwarefamilie. Ondanks dat het eenvoudige varianten zijn zonder uitgebreide functionaliteiten, mag het gevaar van deze bedreigingen niet worden onderschat. Een van de nieuwste die door infosec-onderzoekers is ontdekt, is de NaS Ransomware. Het coderingsproces maakt gebruik van een onkraakbaar cryptografisch algoritme en maakt het herstel van de getroffen bestanden zonder toegang tot de decoderingssleutel bijna onmogelijk.

Als onderdeel van het coderingsproces markeert de dreiging alle vergrendelde bestanden door hun oorspronkelijke namen te wijzigen. De NaS Ransomware voegt een string toe die de ID vertegenwoordigt die aan het specifieke slachtoffer is toegewezen, gevolgd door een e-mailadres onder controle van de hackers, en tot slot '.NaS' als een nieuwe bestandsextensie. Het e-mailadres in kwestie is 'fastnas@fea.st.'

Het bericht waarin om losgeld wordt gevraagd van de dreiging wordt in twee verschillende vormen gepresenteerd ondanks identieke tekst. Gebruikers krijgen een pop-upvenster te zien terwijl een 'FILES ENCRYPTED.txt'-tekstbestand op het systeem wordt geplaatst.

Details van losgeldbrief

Zoals typisch is voor de Dharma Ransomware- varianten, bevat het tekstbestand een extreem kort bericht dat de getroffen gebruikers eenvoudig vertelt om contact op te nemen door de e-mails van de aanvallers te verzenden. In het geval van NaS zijn de e-mailadressen 'fastnas@fea.st' of 'gds134s@mm.st'. De belangrijkste losgeldnota wordt geleverd via het pop-upvenster. Het biedt veel meer details, zoals de vermelding dat het losgeld moet worden betaald met behulp van de bitcoin-cryptocurrency. Het exacte bedrag dat door de hackers wordt geëist, zou gebaseerd moeten zijn op hoe snel de slachtoffers contact met hen opnemen.

Bovendien kunnen getroffen gebruikers een enkel gecodeerd bestand verzenden dat zogenaamd gratis zal worden ontgrendeld. Het bestand moet echter kleiner zijn dan 1 MB en mag geen waardevolle gegevens bevatten.

De volledige tekst die in het pop-upvenster wordt weergegeven, is:

' Al uw bestanden zijn versleuteld!

Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als je ze wilt herstellen, schrijf ons dan naar de e-mail fastnas@fea.st
Schrijf deze ID in de titel van uw bericht -
In het geval van geen antwoord binnen 24 uur, schrijf ons dan naar deze e-mails: gds134s@mm.st
U moet betalen voor decodering in Bitcoins. De prijs hangt af van hoe snel u ons schrijft. Na betaling sturen we u de decoderingstool die al uw bestanden zal decoderen.

Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 1 bestand sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 1 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)

Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Je kunt hier ook andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.

Het bericht in het tekstbestand is:

al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
Schrijf een e-mail fastnas@fea.st of gds134s@mm.st .'