NMO Ransomware
Hrozbu NMO Ransomware môžu kyberzločinci použiť na uzamknutie údajov svojich obetí. Hrozba má schopnosť šifrovať množstvo typov súborov, zatiaľ čo silný kryptografický algoritmus zaisťuje, že zamknuté súbory bude takmer nemožné obnoviť bez potrebných dešifrovacích kľúčov. Po analýze NMO Ransomware výskumníci z infosec potvrdili, že ide o variant z rodiny malvéru Dharma .
Okrem šifrovania súborov uložených na napadnutých zariadeniach hrozba generuje aj špecifický reťazec ID pre každú obeť. NMO pripojí tento reťazec k pôvodným názvom zašifrovaných súborov, za ktorým nasleduje e-mailová adresa kontrolovaná útočníkmi. V tomto prípade je e-mailová adresa 'dr.nemo@tutanota.com.' Nakoniec sa ako nová prípona súboru pridá '.NMO'.
Hrozba tiež doručuje infikovaným systémom dve výkupné. Jeden sa vypustí ako textový súbor s názvom „info.txt“. V správe sa uvádza, že používatelia, ktorí chcú získať svoje súbory späť, musia nadviazať kontakt s útočníkmi prostredníctvom správy „dr.nemo@tutanota.com“ alebo „mr.helper@gmx.com“. Dlhšia správa požadujúca výkupné sa zobrazí ako kontextové okno. Neposkytuje žiadne ďalšie podrobnosti, jednoducho obsahuje časť s rôznymi upozorneniami.
Textový súbor obsahuje nasledujúcu správu:
Všetky vaše údaje boli zamknuté
Chcete sa vrátiť?
napíšte email dr.nemo@tutanota.com alebo mr.helper@gmx.comV kontextovom okne sa zobrazili nasledujúce pokyny:
VAŠE SÚBORY SÚ ŠIFROVANÉ
ZAQ
Nebojte sa, všetky svoje súbory môžete vrátiť!
Ak ich chcete obnoviť, napíšte na mail: dr.nemo@tutanota.com VAŠE ID -
Ak ste neodpovedali poštou do 12 hodín, napíšte nám inou poštou: mr.helper@gmx.comPOZOR!
Odporúčame, aby ste nás kontaktovali priamo, aby ste sa vyhli preplateniu agentovNepremenovávajte šifrované súbory.
Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to spôsobiť trvalú stratu údajov.
Dešifrovanie vašich súborov pomocou tretích strán môže spôsobiť zvýšenie ceny (pripočítajú nám svoj poplatok) alebo sa môžete stať obeťou podvodu. '
