Newlocker Ransomware
Примарна функција Невлоцкер Рансомваре-а је да шифрује датотеке ускладиштене на зараженом систему. Током процеса шифровања, Невлоцкер такође преименује погођене датотеке додавањем њихових имена екстензијом „.невлоцкер“. На пример, ако је датотека првобитно била названа '1.пдф,' Невлоцкер ће је преименовати у '1.пдф.невлоцкер' итд. Ово се ради да би се назначило које датотеке је шифровао малвер. Поред шифровања датотека, Невлоцкер креира датотеку под називом „ХОВ_ТО_РЕЦОВЕР_ДАТА.хтмл“, која садржи белешку о откупнини за жртве.
Невлоцкер Рансомваре закључава широк спектар типова датотека
Порука о откупнини коју су оставили нападачи укључује лични ИД додељен жртви и упозорење да је мрежа пробијена и да су све кључне датотеке шифроване коришћењем РСА и АЕС алгоритама за шифровање. У напомени се посебно упозорава да не покушавате да вратите шифроване датотеке софтвером треће стране јер би их то могло трајно уништити.
Нападачи тврде да ниједан софтвер за дешифровање доступан на Интернету не може помоћи у опоравку шифрованих датотека. Штавише, нападачи тврде да су добили веома поверљиве и личне податке који ће бити објављени у јавности или продати ако се откупнина не плати.
Као доказ њихове способности да обнове шифроване датотеке, нападачи нуде бесплатно дешифровање две до три небитне датотеке. Обавештење о откупнини садржи две адресе е-поште за контакт - 'мицрохдд@тута.ио' и 'мицрохдд@фиремаил.цц' за плаћање и набавку софтвера за дешифровање. Такође упозорава да се кључ за дешифровање само привремено чува.
Нападачи позивају жртву да их контактира што је пре могуће, јер ће цена за дешифровање фајлова порасти ако се контакт не успостави у року од 72 сата.
Корисници би требало да успоставе довољну заштиту од претњи рансомвера
Рансомваре је штетан облик малвера који може значајно да нашкоди уређајима и подацима корисника. Да би се заштитили од напада рансомваре-а, корисници могу предузети неколико мера.
Прво, корисници би требало да ажурирају сав свој анти-малвер и сигурносни софтвер, јер то може помоћи да се открије и спречи инсталација рансомваре-а на њиховим уређајима.
Корисници такође треба да буду опрезни када отварају е-пошту или кликћу на везе из непознатих или непоузданих извора. Такође би требало да избегавају преузимање датотека са непроверених веб локација или коришћење мрежа за дељење датотека равноправних корисника.
Прављење редовних резервних копија њихових важних података једна је од најбољих мера за ублажавање потенцијалне штете изазване претњама рансомвера. Резервне копије треба да буду ускладиштене на екстерном уређају за складиштење или услузи у облаку тако да се могу безбедно користити за враћање погођених датотека у случају напада.
За кориснике је кључно да имају јаке и јединствене лозинке за своје налоге и уређаје и да омогуће двофакторску аутентификацију где год је то могуће. Ово је начин да се спречи неовлашћени приступ њиховим системима и подацима.
Порука о откупнини коју је оставио Невлоцкер Рансомваре је:
'ВАШ ЛИЧНИ ИД:
/!\ У ВАШУ МРЕЖУ КОМПАНИЈЕ ЈЕ ПРОДРЕН /!\
СВЕ ВАШЕ ВАЖНЕ ДАТОТЕКЕ СУ ШИФРОВАНЕ!ВАШЕ ДАТОТЕКЕ СУ СИГУРНЕ! САМО МОДИФИКОВАНО. (РСА+АЕС)
СВАКИ ПОКУШАЈ ВРАТАЊА ВАШИХ ДАТОТЕКА СОФТВЕРОМ ТРЕЋЕ СТРАНИ
ТРАЈНО ЋЕ УНИШТИТИ ВАШ ДАТОТЕК.
НЕМОЈТЕ МОДИФИКОВАТИ ШИФРОВАНЕ ДАТОТЕКЕ. НЕ ПРЕИМЕВАЈТЕ ШИФИРАНЕ ДАТОТЕКЕ.НИЈЕДАН СОФТВЕР ДОСТУПАН НА ИНТЕРНЕТУ НЕ МОЖЕ ВАМ ПОМОЋИ. САМО ИМАМО
РЕШЕЊЕ ВАШЕГ ПРОБЛЕМА.ПРИКУПИЛИ СМО ВИСОКО ПОВЕРЉИВЕ/ЛИЧНЕ ПОДАТКЕ. ОВИ ПОДАЦИ
ТРЕНУТНО СУ ЧУВАНИ НА ПРИВАТНОМ СЕРВЕРУ. ОВАЈ СЕРВЕР ЋЕ БИТИ
ОДМАХ УНИШТЕН НАКОН ВАШЕ УПЛАТЕ. ТРАЖИМО САМО НОВАЦ
И НЕ ЖЕЛИТЕ ДА ОШТЕТИТЕ СВОЈУ РЕПУТАЦИЈУ. АКО ОДЛУЧИТЕ ЗА
НЕ ПЛАЋАТЕ, МИ ЋЕМО ОВЕ ПОДАТКЕ ЈАВНОСТИ ИЛИ ПРЕПРОДАВЦУ.МОЖЕТЕ НАМ ПОСЛАТИ 2-3 НЕВАЖНЕ ДАТОТЕКЕ И МИ ЋЕМО
БЕСПЛАТНО ДЕКРИФИРАЈТЕ ДА БИ ДОКАЖАЛИ ДА СМО У МОГУЋНОСТИ ДА ВАШЕ ДАТОТЕКЕ
НАЗАД.КОНТАКТИРАЈТЕ НАС ЗА ЦЕНУ (БИТКОИН) И ДОБИЈЕТЕ СОФТВЕР ЗА ДЕКРИПАЊЕ.
мицрохдд@тута.ио
мицрохдд@фиремаил.цц
КОНТАКТИРАЈТЕ ШТО ПРЕ МОЖЕ. ВАШ КЉУЧ ЗА ДЕКРИПОВАЊЕ СЕ САМО ЧУВА
ПРИВРЕМЕНО. АКО НАС НЕ КОНТАКТИРАТЕ У 72 САТА, ЦЕНА ЋЕ БИТИ ВИША.'
