GonaCry Ransomware

GonaCry je izsiljevalska programska oprema, ki lahko šifrira datoteke, spremeni imena datotek šifriranih datotek, spremeni ozadje namizja in za seboj pusti obvestilo o odkupnini v obliki datoteke 'read_it.txt'. Izsiljevalska programska oprema GonaCry vsakemu od šifriranih imen datotek doda naključno izbrano 4-mestno razširitev. Datoteko z imenom '1.jpg' lahko na primer preimenujete v '1.jpg.h863', datoteko z imenom '2.doc' pa spremenite v '2.doc.i9as'. Ta konvencija poimenovanja pomaga napadalcem razlikovati med šifriranimi in nešifriranimi datotekami.

Pregled zahtev GonaCry Ransomware

Obvestilo o odkupnini obvešča žrtve, da je njihov operacijski sistem ogrozila izsiljevalska programska oprema GonaCry, zaradi česar so vse datoteke postale nedostopne. Storilci napada ponujajo prodajo specializirane programske opreme za dešifriranje, za katero trdijo, da bo obnovila prizadete datoteke in odstranila izsiljevalsko programsko opremo.

Cena programske opreme za dešifriranje je 50 USD in jo je treba plačati v kriptovaluti Monero. Plačilo odkupnine je treba izvesti z uporabo naslova kripto denarnice Monero, navedenega v navodilih napadalcev.

Tipične taktike, uporabljene za porazdeljene grožnje, kot je izsiljevalska programska oprema GonaCry

Izsiljevalska programska oprema se običajno širi prek lažnih e-poštnih sporočil, poškodovanih prilog in naključnih prenosov. E-poštna sporočila z lažnim predstavljanjem so sporočila, ki se zdijo iz zaupanja vrednega vira, vendar v resnici vsebujejo poškodovano povezavo ali prilogo, ki ob odprtju okuži žrtvino napravo z izsiljevalsko programsko opremo. Poškodovane priloge so datoteke, poslane kot del e-pošte, ki so videti zakonite, vendar vsebujejo zlonamerno programsko opremo. Drive-by prenosi so poškodovane datoteke, ki se samodejno prenesejo v napravo žrtve, ko ta obišče okuženo spletno mesto.

Druga pogosta metoda distribucije izsiljevalske programske opreme je izkoriščanje ranljivosti v programski opremi in operacijskih sistemih. Napadalci uporabljajo orodja za iskanje nepopravljenih sistemov in nato uporabijo najdene ranljivosti za namestitev izsiljevalske programske opreme. Poleg tega nekateri napadalci za širjenje izsiljevalske programske opreme uporabljajo tudi omrežja enakovrednih in tehnike socialnega inženiringa. V nekaterih primerih lahko napadalci uporabijo tudi drugo zlonamerno programsko opremo, kot so trojanski konji, za namestitev izsiljevalske programske opreme na žrtvino napravo.

Metode, ki se uporabljajo za distribucijo izsiljevalske programske opreme, se nenehno razvijajo in ves čas se razvijajo nove tehnike. Zato je ključnega pomena, da ste obveščeni o najnovejših grožnjah in sprejmete ukrepe za zaščito pred njimi, kot je redno posodabljanje programske opreme in operacijskih sistemov, izogibanje klikanju na sumljive povezave ali priloge in izvajanje močnih varnostnih praks.

Vsebina sporočila o odkupnini, ki jo je na okuženih napravah pustila izsiljevalska programska oprema GonaCry, je:

'----> GonaCry je večjezična izsiljevalska programska oprema. Prevedite svojo opombo v kateri koli jezik <----
Vse vaše datoteke so bile šifrirane
Vaš računalnik je bil okužen z virusom izsiljevalske programske opreme. Vaše datoteke so bile šifrirane in ne boste
jih lahko dešifrirate brez naše pomoči. Kaj lahko storim, da dobim svoje datoteke nazaj? Kupite lahko naše posebne
programsko opremo za dešifriranje vam bo ta programska oprema omogočila obnovitev vseh vaših podatkov in odstranitev
ransomware iz vašega računalnika. Cena programske opreme je 50 USD. Plačilo je možno samo v sistemu Monero.
Kako plačam, kje dobim Monero?
Nakup bitcoinov se razlikuje od države do države, zato vam svetujemo, da hitro poiščete v Googlu
sami ugotovite, kako kupiti Monero.
Veliko naših strank je poročalo, da so ta spletna mesta hitra in zanesljiva:
Localmonero - hxxps://localmonero.co/

Informacije o plačilu Znesek: 0,27 XMR
Naslov XMR: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

Sporočilo, prikazano kot ozadje namizja, je:

!! POZOR!!

VAŠE DATOTEKE SO ŠIFRIRANE!

Vsi vaši dokumenti, fotografije, zbirke podatkov in druge pomembne datoteke so šifrirane s šifriranjem RSA.

Datoteke ne boste mogli obnoviti brez zasebnega ključa, ki je shranjen na našem strežniku.

Protivirusni program ne more obnoviti vaših datotek

Pošljite BTC v vrednosti 50 $ na ta naslov:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5

Ali pa pošljite XMR v vrednosti 50 $ na ta naslov:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'