Pysa Ransomware

De Pysa Ransomware is een van de nieuwste gedetecteerde ransomware-bedreigingen. Toen de cybersecurity-onderzoekers die de Pysa Ransomware zagen, dieper keken, ontdekten ze dat deze bedreiging tot de Mespinoza Ransomware- familie behoort. De meeste ransomware-bedreigingen werken op een vrij identieke manier - ze zouden een gericht systeem infiltreren, de aanwezige gegevens coderen en vervolgens het slachtoffer vragen losgeld te betalen om een decoderingssleutel te krijgen, die de betrokken bestanden zou moeten ontgrendelen . Vaker wel dan niet, zouden auteurs van ransomware een vrij fors bedrag eisen, zelden minder dan enkele honderden dollars.

Voortplanting en versleuteling

Veel makers van ransomware-bedreigingen kiezen ervoor om massale spam-e-mailcampagnes te gebruiken om hun bestandscoderende Trojaanse paarden te verspreiden. Normaal wordt dit gedaan met een e-mail die een nepbericht bevat dat is ontworpen om het doel te overtuigen een schijnbaar onschadelijke bijlage te starten. Helaas is de bijlage meestal macro-geregen en zou hun systeem bij het uitvoeren ervan in gevaar komen. Er zijn verschillende andere infectievectoren die vrij populair zijn voor het verspreiden van bedreigingen van deze klasse - frauduleuze softwaredownloads en -updates, nep-illegale kopieën van populaire applicaties of media, torrent-trackers, enz. De Pysa Ransomware zorgt ervoor dat een grote verscheidenheid aan populaire bestandstypes, die waarschijnlijk te vinden zijn op de pc van elke gewone gebruiker - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .docx, .ppt, .rar, .xls, .xlsx, etc. Zodra de Pysa Ransomware zijn coderingsalgoritme toepast en de beoogde gegevens vergrendelt, worden alle getroffen bestanden onbruikbaar worden gemaakt. De extensie, die de Pysa Ransomware toevoegt aan de nieuw vergrendelde bestanden, is '.pysa'. Bijvoorbeeld, een audiobestand dat 'shining-lights.mp3' werd genoemd voordat de aanval plaatsvond, zou zijn naam veranderen in 'shining-lights.mp3.pysa' zodra deze data-vergrendeling Trojan het codeert.

The Ransom Note

Nadat het coderingsproces is voltooid, zet de Pysa Ransomware het losgeldbericht neer in een bestand met de naam 'Readme.README.txt'. De notitie luidt:

'Hallo bedrijf,

Elke byte op elk type apparaat is gecodeerd.
Probeer geen back-ups te gebruiken omdat deze ook gecodeerd waren.
Neem contact met ons op om al uw gegevens terug te krijgen:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
FAQ:
1.
Vraag: Hoe kan ik ervoor zorgen dat je me niet voor de gek houdt?
A: U kunt ons 2 bestanden sturen (max. 2 MB).
2.
Vraag: Wat te doen om alle gegevens terug te krijgen?
A: Start de computer niet opnieuw op, verplaats geen bestanden en schrijf ons.
3.
Vraag: Wat moet ik mijn baas vertellen?
A: Bescherm uw systeem Amigo. '

In het losgeldbericht maken de aanvallers duidelijk dat de gegevens van de gebruiker zijn gecompromitteerd en dat ze losgeld moeten betalen als ze hun gegevens willen herstellen. De auteurs van de Pysa Ransomware stellen dat ze twee bestanden gratis zouden ontgrendelen, zolang ze niet groter zijn dan 2 MB. Dit is bedoeld als bewijs dat de aanvallers beschikken over een werkend ontcijfertool dat in staat is de schade aan de gegevens van het slachtoffer ongedaan te maken. De slachtoffers moeten via e-mail contact opnemen met de aanvallers en er zijn twee e-mailadressen beschikbaar: 'aireyeric@protonmail.com' en 'ellershaw.kiley@protonmail.com'.
Het is een goede maatregel om afstand te houden van schaduwrijke cyberboeven zoals de makers van de Pysa Ransomware. Vaak blijven zelfs gebruikers die toegeven en de gevraagde losgeld betalen, met lege handen achter wanneer de aanvallers hun nooit de beloofde decoderingssleutel sturen. Dit is de reden waarom u een legitieme anti-spyware suite moet downloaden en installeren die de Pysa Ransomware van uw systeem zal wissen en ervoor zorgt dat u zich in de toekomst niet in deze plakkerige situatie bevindt.