NORD Ransomware
O NORD Ransomware é uma ameaça potente que bloqueia arquivos. Embora não seja totalmente único, os pesquisadores da infosec determinaram que o NORD Ransomware é uma variante do WannaScream que, de forma alguma, diminuiu suas capacidades destrutivas. Na verdade, as vítimas da ameaça serão bloqueadas repentinamente em seus próprios computadores e não serão capazes de acessar ou usar qualquer um de seus arquivos.
Como parte de seu processo de criptografia, o NORD Ransomware mudará os nomes dos arquivos que afeta drasticamente. A ameaça anexará uma string de ID exclusiva ao nome original do arquivo, seguida por um endereço de e-mail que é controlado pelos hackers e, finalmente, '.NORD' como uma nova extensão de arquivo. O endereço de e-mail é 'decryptfilekhoda@protonmail.com.' Duas notas de resgate diferentes serão lançadas nos sistemas comprometidos. Um será exibido em uma janela pop-up (info.hta), enquanto o outro estará dentro de arquivos de texto (ReadMe.txt) criados em todas as pastas que contêm dados criptografados.
As instruções encontradas nos arquivos de texto são extremamente breves. Eles simplesmente dizem às vítimas para contatar os hackers através dos canais de comunicação fornecidos. Embora o modelo WannaScream para a nota de resgate inclua uma conta do Telegram e um endereço de e-mail secundário, os criminosos responsáveis pelo NORD Ransomware não se preocuparam em incluí-los. A única forma de estabelecer a comunicação disponível para as vítimas da ameaça é enviando um e-mail para o citado 'decryptfilekhoda@protonmail.com'. A nota de resgate na janela pop-up fornece um pouco mais de detalhes. Embora não mencione a quantia exata exigida pelos hackers, afirma que a transação potencial deve ser feita com bitcoins. Ele também permite que os usuários afetados anexem até 5 arquivos que não excedam o tamanho total de 4 MB à mensagem de e-mail para serem descriptografados gratuitamente.
O texto completo dos arquivos 'ReadMe.txt' é:
'[+] Todos os seus arquivos foram criptografados [+]
[-] Você realmente deseja restaurar seus arquivos?
[+] Escreva-nos para o e-mail: decryptfilekhoda@protonmail.com
[+] Escreva-nos para o telegrama ID:
[+] Se você não obteve resposta até 24 horas depois, escreva para este e-mail: decryptfilekhoda@protonmail.com
[-] Escreva seu ID exclusivo no título de sua mensagem.
[+] ID único: '
O conjunto completo de instruções da nota de resgate 'info.hta' inclui:
'Todos os seus arquivos foram criptografados por Wanna Scream!
devido a um problema de segurança com o seu PC. Se você deseja restaurá-los, escreva para o e-mail decryptfilekhoda@protonmail.com
Escreva este ID no título da sua mensagem: -
Caso não responda em 24 horas escreva para este e-mail: decryptfilekhoda@protonmail.com
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento iremos enviar-lhe a ferramenta que irá desencriptar todos os seus ficheiros.
Descriptografia gratuita como garantia
Antes de pagar, você pode nos enviar até 5 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 4 MB (não arquivado) e os arquivos não devem conter informações valiosas. (bancos de dados, backups, grandes planilhas do Excel, etc.)
Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é o site LocalBitcoins. Você deve se registrar, clicar em 'Comprar bitcoins' e selecionar o vendedor pelo método de pagamento e preço.
hxxps: //localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode aumentar o preço (eles adicionam sua taxa à nossa) ou você pode se tornar vítima de um golpe. '
