Moonshadow Ransomware
Zagrożenie Moonshadow Ransomware to kolejny groźny wariant ze znanej rodziny VoidCrypt . Użytkownicy nie powinni traktować tego jako znaku, że Moonshadow jest mniej groźny. Wdrożone na złamanym urządzeniu zagrożenie może zablokować znaczną część przechowywanych tam danych. Ofiary nie będą miały dostępu do swoich cennych dokumentów, plików PDF, baz danych, archiwów i nie tylko.
Ransomware Moonshadow przypisuje unikalny identyfikator każdej ze swoich ofiar. Ten ciąg identyfikatora zostanie dołączony do oryginalnych nazw zaszyfrowanych plików. Po nim będzie adres e-mail pod kontrolą cyberprzestępców. W tym przypadku adres e-mail to „developer.110@tutanota.com”. Na koniec zagrożenie doda „.moonshadow” jako nowe rozszerzenie pliku. Ofiary otrzymają następnie żądanie okupu zawierające instrukcje od cyberprzestępców. Wiadomość zostanie wyświetlona w nowym oknie wygenerowanym z pliku HTA o nazwie „Decryption-Guide.HTA”. Ponadto Moonshadow utworzy plik tekstowy o nazwie „Decryption-Guide.txt” zawierający identyczną wiadomość.
Szczegóły notatki o okupie
Jak powiedzieliśmy, instrukcje w wyskakującym oknie i pliku tekstowym są takie same. Twierdzą, że zablokowane pliki można przywrócić, ale ofiary muszą zapłacić okup, jeśli chcą otrzymać narzędzie deszyfrujące i niezbędny klucz RSA. Zainfekowani użytkownicy muszą również znaleźć określony plik, który został utworzony w zainfekowanym systemie. Nazwa pliku powinna być podobna do „KEY-SE-24r6t523” lub „RSAKEY.KEY”. Bez zawartych w nim informacji nawet cyberprzestępcy nie będą w stanie odblokować zaszyfrowanych plików. Żądanie okupu stwierdza, że komunikacja może odbywać się tylko za pośrednictwem e-maila „developer.110@tutanota.com”.
Pełny tekst notatek dotyczących okupu upuszczonych przez Moonshadow Ransomware to:
' Twoje pliki zostały zablokowane
Twoje pliki zostały zaszyfrowane algorytmem kryptograficznym
Jeśli potrzebujesz swoich plików i są one dla Ciebie ważne, nie wstydź się, wyślij mi e-mail
Wyślij plik testowy + plik klucza w systemie (plik istnieje w przykładzie C:/ProgramData: KEY-SE-24r6t523 lub RSAKEY.KEY), aby upewnić się, że można przywrócić pliki
Zawrzyj ze mną umowę dotyczącą ceny i zapłać
Uzyskaj narzędzie do deszyfrowania + klucz RSA ORAZ instrukcję procesu odszyfrowywaniaUwaga:
1- Nie zmieniaj nazwy ani nie modyfikuj plików (możesz stracić ten plik)
2- Nie próbuj używać aplikacji innych firm ani narzędzi do odzyskiwania (jeśli chcesz to zrobić, zrób kopię z plików i wypróbuj je i marnuj swój czas)
3-Nie instaluj ponownie systemu operacyjnego (Windows) Możesz stracić plik klucza i stracić swoje pliki
4-Nie zawsze ufaj pośrednikom i negocjatorom (niektórzy z nich są dobrzy, ale niektórzy zgadzają się na przykład na 4000 usd i zapytali klienta o 10000 usd) tak się stałoTwój identyfikator sprawy : -
Nasz e-mail:developer.110@tutanota.com '
