Ransomware GonaCry
GonaCry je ransomvér, ktorý má schopnosť šifrovať súbory, meniť názvy šifrovaných súborov, upravovať tapetu pracovnej plochy a zanechávať za sebou poznámku o výkupnom vo forme súboru „read_it.txt“. GonaCry Ransomware pripojí ku každému zašifrovanému názvu súboru náhodnú 4-znakovú príponu. Napríklad súbor s názvom „1.jpg“ možno premenovať na „1.jpg.h863“, zatiaľ čo súbor s názvom „2.doc“ možno zmeniť na „2.doc.i9as“. Táto konvencia pomenovania pomáha útočníkom rozlišovať medzi šifrovanými a nešifrovanými súbormi.
Prehľad požiadaviek GonaCry Ransomware
Výkupné informuje obete, že ich operačný systém bol napadnutý GonaCry Ransomware, čo spôsobilo, že všetky súbory sa stali nedostupnými. Páchatelia útoku ponúkajú predaj špecializovaného dešifrovacieho softvéru, o ktorom tvrdia, že obnoví postihnuté súbory a odstráni ransomvér.
Cena dešifrovacieho softvéru je 50 USD a musí byť zaplatená v kryptomene Monero. Výkupné sa má uskutočniť pomocou adresy kryptopeňaženky Monero uvedenej v pokynoch útočníkov.
Typická taktika používaná na distribuované hrozby, ako je GonaCry Ransomware
Ransomvér sa zvyčajne šíri prostredníctvom phishingových e-mailov, poškodených príloh a sťahovaných súborov. Phishingové e-maily sú správy, ktoré sa zdajú byť z dôveryhodného zdroja, ale v skutočnosti obsahujú poškodený odkaz alebo prílohu, ktorá po otvorení infikuje zariadenie obete ransomvérom. Poškodené prílohy sú súbory odoslané ako súčasť e-mailu, ktoré sa zdajú byť legitímne, ale obsahujú škodlivý softvér. Sťahovanie typu Drive-by sú poškodené súbory, ktoré sa automaticky stiahnu do zariadenia obete, keď navštívi infikovanú webovú stránku.
Ďalšou bežnou metódou distribúcie ransomvéru je využívanie zraniteľností v softvéri a operačných systémoch. Útočníci používajú nástroje na vyhľadávanie neoplatených systémov a následne pomocou nájdených zraniteľností nainštalujú ransomvér. Niektorí útočníci navyše používajú na šírenie ransomvéru siete typu peer-to-peer a techniky sociálneho inžinierstva. V niektorých prípadoch môžu útočníci použiť aj iný malvér, ako sú trójske kone, na inštaláciu ransomvéru do zariadenia obete.
Metódy používané na distribúciu ransomvéru sa neustále vyvíjajú a neustále sa vyvíjajú nové techniky. Preto je dôležité byť informovaný o najnovších hrozbách a podniknúť kroky na ochranu pred nimi, ako je pravidelná aktualizácia softvéru a operačných systémov, vyhýbanie sa klikaniu na podozrivé odkazy alebo prílohy a implementácia prísnych bezpečnostných postupov.
Obsah poznámky o výkupnom, ktorú na infikovaných zariadeniach zanechal GonaCry Ransomware, je:
'----> GonaCry je viacjazyčný ransomvér. Preložte svoju poznámku do akéhokoľvek jazyka <----
Všetky vaše súbory boli zašifrované
Váš počítač bol infikovaný vírusom ransomware. Vaše súbory boli zašifrované a vy to nebudete
byť schopný ich dešifrovať bez našej pomoci. Čo môžem urobiť, aby som dostal svoje súbory späť? Môžete si kúpiť náš špeciál
dešifrovací softvér, tento softvér vám umožní obnoviť všetky vaše údaje a odstrániť ich
ransomware z vášho počítača.Cena za softvér je 50 USD. Platbu je možné uskutočniť iba v systéme Monero.
Ako zaplatím, kde získam Monero?
Nákup bitcoinov sa v jednotlivých krajinách líši, najlepšie vám odporúčame urobiť rýchle vyhľadávanie Google
sami zistiť, ako kúpiť Monero.
Mnohí naši zákazníci uviedli, že tieto stránky sú rýchle a spoľahlivé:
Localmonero – hxxps://localmonero.co/Informácie o platbeSuma: 0,27 XMR
Adresa XMR: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74QkSpráva zobrazená ako pozadie pracovnej plochy je:
!! POZOR!!
VAŠE SÚBORY BOLI ŠIFROVANÉ!
Všetky vaše dokumenty, fotografie, databázy a ďalšie dôležité súbory boli zašifrované pomocou šifrovania RSA.
Bez súkromného kľúča, ktorý je uložený na našom serveri, nebudete môcť obnoviť svoj súbor.
Antivírus nedokáže obnoviť vaše súbory
Pošlite BTC v hodnote 50 $ na túto adresu:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5Alebo pošlite XMR v hodnote 50 $ na túto adresu:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'
