TurkStatik Ransomware
Een nieuwe ransomware-bedreiging verscheen recent in het wild. De naam is TurkStatik Ransomware. Deze dreiging lijkt niet te behoren tot een van de populaire ransomware-families waarvan we steeds nieuwe kopieën zien. Wat anders is aan deze ransomware-bedreiging is dat deze zich voornamelijk op Turkse gebruikers lijkt te richten. Malware-onderzoekers kwamen tot deze conclusie na het bestuderen van deze dreiging en het opmerken dat het losgeldbericht vloeiend Turks is geschreven zonder grammaticale of spelfouten. Dit bracht hen ertoe te geloven dat de TurkStatik Ransomware niet alleen is afgestemd op Turkse burgers, maar het lijkt erop dat het ook door Turkse inwoners is gebouwd.
Voortplanting en versleuteling
De TurkStatik Ransomware wordt waarschijnlijk verspreid via phishing-e-mails die de gebruiker proberen te misleiden om het beschadigde bijgevoegde bestand te openen dat de TurkStatik Ransomware-code bevat. Wanneer de TurkStatik Ransomware een systeem compromitteert, zal het zoeken naar alle populaire bestandstypen en het coderingsalgoritme toepassen om ze te vergrendelen. Deze ransomware-bedreiging zoekt naar afbeeldingen, audiobestanden, video's, spreadsheets, archieven, databases, presentaties, documenten, enz. Dit garandeert dat de TurkStatik Ransomware de host zoveel mogelijk schade zal berokkenen. Wanneer het coderingsproces is voltooid, ziet de gebruiker dat de bestandsnamen van de vergrendelde bestanden zijn gewijzigd. De TurkStatik Ransomware past een '.crypted' extensie toe aan het einde van de namen van de betreffende bestanden. Een bestand met de naam 'rose-ash.jpeg' voorafgaand aan de aanval krijgt bijvoorbeeld de naam 'rose-ash.jpeg.ciphered' nadat de operatie is voltooid.
The Ransom Note
Het losgeldbericht van de TurkStatik Ransomware wordt opgeslagen in een bestand met de naam 'README_DONT_DELETE.txt' dat op het bureaublad van de gebruiker wordt geplaatst. De auteurs van de TurkStatik Ransomware maken duidelijk dat het losgeld zal worden gevraagd in de vorm van Bitcoin, maar vermelden de specifieke som niet. Het is waarschijnlijk dat ze het losgeld zullen onthullen zodra het slachtoffer contact met hen opneemt. De aanvallers geven twee e-mailadressen uit waar het slachtoffer contact met hen kan opnemen en verdere instructies ontvangen - 'decservice@mail.ru' en 'recoverydbservice@protonmail.com'.
Het goede nieuws voor de gebruikers die het slachtoffer zijn geworden van deze vervelende bedreiging, is echter dat cybersecurity-experts deze ransomware-bedreiging hebben gekraakt en een openbaar beschikbare decoderingssleutel hebben vrijgegeven die met een eenvoudige Google-zoekopdracht kan worden bereikt. Helaas betekent dit niet dat de TurkStatik Ransomware volledig is gecastreerd. De auteurs van deze Trojan voor het vergrendelen van bestanden kunnen de dreiging bijwerken en de coderingsroutine wijzigen. Voor nu hebben de gebruikers die besmet raken met de TurkStatik Ransomware een gratis gevangeniskaart en hoeven ze niet samen te werken met de cyberboeven. Zelfs als er geen gratis decoderingstools beschikbaar waren, raden we u af om ooit contact op te nemen met cybercriminelen zoals die achter de TurkStatik Ransomware, omdat er niets goeds uit kan komen.
