NORD Ransomware
De NORD Ransomware is een krachtige crypto locker-bedreiging. Hoewel het niet geheel uniek is, hebben infosec-onderzoekers vastgesteld dat de NORD Ransomware een WannaScream-variant is die op geen enkele manier zijn destructieve mogelijkheden heeft verminderd. Inderdaad, slachtoffers van de dreiging zullen plotseling geen toegang meer hebben tot hun eigen computers en ze zullen geen toegang hebben tot of gebruik maken van hun bestanden.
Als onderdeel van het coderingsproces zal de NORD Ransomware de namen van de bestanden die het beïnvloedt drastisch veranderen. De dreiging voegt een unieke ID-string toe aan de oorspronkelijke naam van het bestand, gevolgd door een e-mailadres dat wordt beheerd door de hackers, en tenslotte '.NORD' als een nieuwe bestandsextensie. Het e-mailadres is 'decryptfilekhoda@protonmail.com'. Twee verschillende losgeldnota's worden op de gecompromitteerde systemen geplaatst. De ene wordt weergegeven in een pop-upvenster (info.hta), de andere bevindt zich in tekstbestanden (ReadMe.txt) die in elke map met gecodeerde gegevens zijn gemaakt.
De instructies in de tekstbestanden zijn buitengewoon beknopt. Ze vertellen de slachtoffers eenvoudigweg contact op te nemen met de hackers via de voorziene communicatiekanalen. Hoewel de WannaScream-sjabloon voor de losgeldbrief een Telegram-account en een secundair e-mailadres bevat, hebben de criminelen die verantwoordelijk zijn voor de NORD Ransomware niet de moeite genomen om ze op te nemen. De enige manier om communicatie tot stand te brengen die beschikbaar is voor de slachtoffers van de dreiging, is door een e-mail te sturen naar de bovengenoemde 'decryptfilekhoda@protonmail.com'. De losgeldbrief in het pop-upvenster geeft wat meer details. Hoewel het exacte bedrag dat door de hackers wordt geëist niet wordt vermeld, staat er wel dat de mogelijke transactie moet worden gedaan met bitcoins. Het stelt betrokken gebruikers ook in staat om maximaal 5 bestanden toe te voegen die niet groter zijn dan 4 MB aan het e-mailbericht om gratis te worden gedecodeerd.
De volledige tekst van de 'ReadMe.txt'-bestanden is:
'[+] Al uw bestanden zijn versleuteld [+]
[-] Wilt u uw bestanden echt herstellen?
[+] Schrijf ons naar de e-mail: decryptfilekhoda@protonmail.com
[+] Schrijf ons naar het ID-telegram:
[+] Als u pas 24 uur later antwoord krijgt, schrijf dan naar deze e-mail: decryptfilekhoda@protonmail.com
[-] Schrijf uw unieke ID in de titel van uw bericht.
[+] Unieke ID: '
De volledige set instructies van de 'info.hta' losgeldbrief bevat:
'Al je bestanden zijn versleuteld door Wanna Scream!
vanwege een beveiligingsprobleem met uw pc. Als je ze wilt herstellen, stuur ons dan een e-mail naar decryptfilekhoda@protonmail.com
Schrijf deze ID in de titel van uw bericht: -
Als u binnen 24 uur geen antwoord ontvangt, schrijft u ons naar deze e-mail: decryptfilekhoda@protonmail.com
U moet betalen voor decodering in Bitcoins. De prijs is afhankelijk van hoe snel u ons schrijft. Na betaling sturen we je de tool die al je bestanden ontsleutelt.
Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 5 bestanden gratis decoderen sturen. De totale grootte van bestanden moet kleiner zijn dan 4 MB (niet gearchiveerd), en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, etc.)
Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, klikken op 'Bitcoins kopen' en de verkoper selecteren op betaalmethode en prijs.
hxxps: //localbitcoins.com/buy_bitcoins
Ook kunt u hier andere plaatsen vinden om Bitcoins en een beginnersgids te kopen:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Wijzig de naam van versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het ontsleutelen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (zij voegen hun vergoeding toe aan ons) of u kunt het slachtoffer worden van oplichting. '
