ORCA Ransomware
De ORCA Ransomware is een malwarebedreiging die is uitgerust met krachtige encryptiemogelijkheden. Zodra het de beoogde computers heeft geïnfiltreerd, vergrendelt de dreiging de verschillende bestanden die daar zijn opgeslagen - documenten, pdf's, archieven, databases, afbeeldingen, foto's, enz. Herstel van de getroffen bestanden zonder de juiste decoderingssleutels is meestal onmogelijk. Toen cybersecurity-onderzoekers de ORCA Ransomware analyseerden, ontdekten ze dat het een variant is van de ZEPPELIN- malwarefamilie.
Slachtoffers van de dreiging zullen merken dat hun bestanden hun oorspronkelijke naam hebben gewijzigd. De dreiging voegt inderdaad '.ORCA' toe, gevolgd door een ID-reeks die speciaal voor het slachtoffer is gegenereerd als nieuwe bestandsextensies. Getroffen gebruikers of organisaties zullen ook merken dat een onbekend bestand met de naam 'HOW_TO_RECOVER_DATA.hta' is verschenen op het bureaublad van de gehackte apparaten. Het doel van het bestand is om een losgeldbrief af te leveren met instructies van de aanvallers.
Volgens het bericht zijn de dreigingsactoren er niet alleen in geslaagd om de bestanden van het slachtoffer te vergrendelen, maar ook om belangrijke vertrouwelijke gegevens te exfiltreren die nu op hun privéserver zijn opgeslagen. Dit is een veelgebruikte tactiek bij dubbele afpersingsoperaties. Slachtoffers krijgen 72 uur de tijd om losgeld in Bitcoin te betalen. Nadat die periode voorbij is, dreigen de hackers de decoderingssleutel te verwijderen die nodig is voor het herstellen van de vergrendelde bestanden. Bovendien, als ze de gevraagde betaling niet ontvangen, zullen de hackers de verzamelde gegevens ook openbaar maken. De losgeldbrief vermeldt twee e-mailadressen - 'GoldenSunMola@aol.com' en 'GoldenSunMola@cyberfear.com', als mogelijke communicatiekanalen
De volledige tekst van de notitie van ORCA Ransomware is:
' UW BESTANDEN ZIJN VERSLEUTELD
Uw ID om te decoderen:
Neem contact met ons op: GoldenSunMola@aol.com | GoldenSunMola@cyberfear.comHelaas voor u bent u door een ernstige kwetsbaarheid in de IT-beveiliging kwetsbaar voor aanvallen!
Om bestanden te decoderen, heeft u een privésleutel nodig.
De enige kopie van de geheime sleutel die kan worden gebruikt om bestanden te decoderen, bevindt zich op een privéserver.
De server vernietigt de sleutel binnen 72 uur nadat de codering is voltooid.
Om de sleutel voor een langere periode te bewaren, kunt u contact met ons opnemen en uw ID doorgeven!Daarnaast verzamelen we strikt vertrouwelijke/persoonlijke gegevens.
Deze gegevens worden ook opgeslagen op een privéserver.
Pas na betaling worden uw gegevens verwijderd!
Als u besluit niet te betalen, publiceren wij uw gegevens voor iedereen of voor wederverkopers.
U kunt dus verwachten dat uw gegevens in de nabije toekomst openbaar beschikbaar komen!Het is gewoon een bedrijf en het gaat ons alleen om het maken van winst!
De enige manier om uw bestanden terug te krijgen is door contact met ons op te nemen voor verdere instructies!
Om een vertrouwensrelatie tot stand te brengen, kunt u 1 bestand verzenden voor testdecodering (niet meer dan 5 MB)Verspil geen tijd aan het zoeken naar andere decoderingsmethoden - ER ZIJN GEEN, u betaalt meer voor uw tijd!
Elke dag stijgt de prijs van decodering!
Hernoem geen versleutelde bestanden.
Gebruik geen programma's van derden om bestanden te decoderen - ze kunnen alleen maar kwaad doen!
Na betaling krijg je een decoder (.exe), je hoeft hem alleen maar uit te voeren en hij doet alles vanzelf.
Ik accepteer alleen Bitcoins! U kunt op internet leren hoe u ze kunt kopen. '
