Программа-вымогатель GonaCry

GonaCry — это программа-вымогатель, способная шифровать файлы, изменять имена зашифрованных файлов, изменять обои рабочего стола и оставлять записку о выкупе в виде файла «read_it.txt». Программа-вымогатель GonaCry добавляет рандомизированное 4-значное расширение к каждому зашифрованному имени файла. Например, файл с именем «1.jpg» можно переименовать в «1.jpg.h863», а файл с именем «2.doc» — в «2.doc.i9as». Такое соглашение об именах помогает злоумышленникам различать зашифрованные и незашифрованные файлы.

Обзор требований программы-вымогателя GonaCry

Записка о выкупе информирует жертв о том, что их операционная система была скомпрометирована программой-вымогателем GonaCry, в результате чего все файлы стали недоступны. Организаторы атаки предлагают продать специализированное программное обеспечение для расшифровки, которое, как они утверждают, восстановит поврежденные файлы и уничтожит программу-вымогатель.

Стоимость программного обеспечения для расшифровки составляет 50 долларов США и должна быть оплачена в Monero, криптовалюте. Плата за выкуп должна быть произведена с использованием адреса крипто-кошелька Monero, указанного в инструкциях злоумышленников.

Типичные тактики, используемые для распределенных угроз, таких как программа-вымогатель GonaCry

Программы-вымогатели обычно распространяются через фишинговые электронные письма, поврежденные вложения и загрузки с диска. Фишинговые электронные письма — это сообщения, которые кажутся отправленными из надежного источника, но на самом деле содержат поврежденную ссылку или вложение, которое при открытии заражает устройство жертвы программой-вымогателем. Поврежденные вложения — это файлы, отправляемые как часть электронного письма, которые кажутся законными, но содержат вредоносное ПО. Загрузки Drive-by — это поврежденные файлы, которые автоматически загружаются на устройство жертвы при посещении зараженного веб-сайта.

Еще один распространенный метод распространения программ-вымогателей — использование уязвимостей в программном обеспечении и операционных системах. Злоумышленники используют инструменты для поиска непропатченных систем, а затем используют найденные уязвимости для установки программы-вымогателя. Кроме того, некоторые злоумышленники также используют одноранговые сети и методы социальной инженерии для распространения программ-вымогателей. В некоторых случаях злоумышленники также могут использовать другие вредоносные программы, например трояны, для установки программ-вымогателей на устройство жертвы.

Методы, используемые для распространения программ-вымогателей, постоянно развиваются, и постоянно разрабатываются новые технологии. Поэтому очень важно быть в курсе последних угроз и принимать меры для защиты от них, например, регулярно обновлять программное обеспечение и операционные системы, избегать переходов по подозрительным ссылкам или вложениям и внедрять надежные методы обеспечения безопасности.

Содержимое записки с требованием выкупа, оставленной на зараженных устройствах программой-вымогателем GonaCry, выглядит следующим образом:

'----> GonaCry — многоязычная программа-вымогатель. Переведите заметку на любой язык <----
Все ваши файлы были зашифрованы
Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы были зашифрованы, и вы не сможете
иметь возможность расшифровать их без нашей помощи. Что я могу сделать, чтобы вернуть свои файлы? Вы можете купить наши специальные
программное обеспечение для расшифровки, это программное обеспечение позволит вам восстановить все ваши данные и удалить
программа-вымогатель с вашего компьютера. Цена программы составляет 50 долларов США. Оплата может быть произведена только в Monero.
Как я могу заплатить, где я могу получить Monero?
Покупка биткойнов варьируется от страны к стране, вам лучше всего выполнить быстрый поиск в Google.
самостоятельно, чтобы узнать, как купить Monero.
Многие из наших клиентов сообщают, что эти сайты работают быстро и надежно:
Localmonero — hxxps://localmonero.co/

Платежная информацияСумма: 0.27 XMR
Адрес XMR: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

Сообщение, отображаемое в качестве фона рабочего стола:

!! ВНИМАНИЕ !!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

Все ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с помощью шифрования RSA.

Вы не сможете восстановить свой файл без закрытого ключа, который был сохранен на нашем сервере.

Антивирус не может восстановить ваши файлы

Отправьте BTC на сумму 50 $ на этот адрес:
1N89ГоркиухгU9TDoN1AKxby19ntWp8ub5

Или отправьте XMR на сумму 50 $ на этот адрес:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'