Pysa Ransomware

Pysa Ransomware jest jednym z najnowszych wykrytych zagrożeń ransomware. Kiedy badacze cyberbezpieczeństwa, którzy zauważyli Pysa Ransomware, przyjrzeli się temu głębiej, odkryli, że to zagrożenie należy do rodziny Mespinoza Ransomware . Większość zagrożeń związanych z oprogramowaniem ransomware działa w dość identyczny sposób - infiltruje docelowy system, szyfruje znajdujące się na nim dane, a następnie prosi ofiarę o uiszczenie opłaty okupowej w celu uzyskania klucza odszyfrowywania, który ma odblokować zainfekowane pliki . Częściej niż nie, autorzy oprogramowania ransomware żądają dość dużej kwoty, rzadko mniej niż kilkuset dolarów.

Rozmnażanie i szyfrowanie

Wielu twórców zagrożeń ransomware decyduje się na wykorzystanie masowych spamowych kampanii e-mail w celu rozprzestrzeniania swoich trojanów szyfrujących pliki. Zwykle odbywa się to za pomocą wiadomości e-mail zawierającej fałszywą wiadomość mającą przekonać cel do uruchomienia pozornie nieszkodliwego załącznika. Niestety załącznik jest zwykle łączony w makropolecenia i po uruchomieniu mógłby naruszyć system. Istnieje kilka innych wektorów infekcji, które są dość popularnymi narzędziami do rozprzestrzeniania zagrożeń tej klasy - nieuczciwe pobieranie i aktualizacje oprogramowania, fałszywe pirackie kopie popularnych aplikacji lub mediów, narzędzia do śledzenia torrentów itp. Pysa Ransomware zapewni szyfrowanie wielu różnych popularne typy plików, które prawdopodobnie można znaleźć na komputerze każdego zwykłego użytkownika - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .docx, .ppt, .rar, .xls, .xlsx itp. Gdy program Pysa Ransomware zastosuje algorytm szyfrowania i zablokuje docelowe dane, wszystkie pliki, których dotyczy problem. stanie się bezużyteczny. Rozszerzenie, które Pysa Ransomware dołącza do nowo zablokowanych plików, to „.pysa". Na przykład plik audio, który przed atakiem został nazwany „shining-lights.mp3", miałby zmienioną nazwę na „shining-lights.mp3.pysa", gdy tylko trojan blokujący dane go zaszyfruje.

Nota o okupie

Po zakończeniu procesu szyfrowania program Pysa Ransomware upuści wiadomość o okupie w pliku o nazwie „Readme.README.txt". Notatka brzmi:

„Cześć firmie,

Każdy bajt na wszelkiego rodzaju urządzeniach był szyfrowany.
Nie próbuj używać kopii zapasowych, ponieważ były one również szyfrowane.
Aby odzyskać wszystkie dane, skontaktuj się z nami:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
FAQ:
1.
P: Jak mogę się upewnić, że mnie nie oszukasz?
Odp .: Możesz przesłać nam 2 pliki (maks. 2 MB).
2)
P: Co zrobić, aby odzyskać wszystkie dane?
Odp .: Nie uruchamiaj ponownie komputera, nie przenoś plików i nie pisz do nas.
3)
P: Co powiedzieć mojemu szefowi?
Odp .: Chroń swój system Amigo. "

W wiadomości o okupie osoby atakujące wyjaśniają, że dane użytkownika zostały naruszone i że będą musiały uiścić opłatę okupową, jeśli chcą odzyskać swoje dane. Autorzy Pysa Ransomware twierdzą, że odblokowaliby dwa pliki za darmo, o ile nie są większe niż 2 MB. Ma to służyć jako dowód, że osoby atakujące posiadają działające narzędzie deszyfrujące, które jest w stanie odwrócić szkody wyrządzone w danych ofiary. Ofiary muszą skontaktować się z atakującymi za pomocą poczty e-mail, podając dwa adresy e-mail - „aireyeric@protonmail.com" i „ellershaw.kiley@protonmail.com".
Dobrze jest zachować dystans od podejrzanych cyberprzestępców, takich jak twórcy Pysa Ransomware. Często nawet użytkownicy, którzy poddają się i płacą żądaną opłatę okupu, pozostają z pustymi rękami, gdy atakujący nigdy nie wysyłają im obiecanego klucza deszyfrowania. Dlatego powinieneś pobrać i zainstalować legalny pakiet antyspyware, który usunie Pysa Ransomware z twojego systemu i zapewni, że nie znajdziesz się w tej lepkiej sytuacji w przyszłości.