Worry Ransomware
Један од нових тројанаца за шифровање датотека који је недавно мучио кориснике рачунара је Ворри Рансомваре. Када су истраживачи безбедности открили ову претњу рансомваре-а, анализирали су је и открили да је Ворри Рансомваре варијанта озлоглашеног Пхобос Рансомваре-а . ВорриРансомваре се шири преко заражених прилога из нежељене е-поште, лажних софтверских крекова или искоришћених рањивости у инсталираним програмима и оперативним системима.
Када се Ворри Рансомваре успешно инфилтрира у рачунар, одмах ће почети да скенира циљану машину. Циљ скенирања је да се открију локације свих датотека које претња жели да означи за шифровање. Затим ће Ворри Рансомваре почети да шифрује све циљане податке. Након што прођу процес шифровања који примењује Ворри Рансомваре, називи датотека ће бити промењени. Ова претња рансомваре-а додаје екстензију датотеке „.ворри“ на крају назива датотеке сваке закључане датотеке.
Затим, Ворри Рансомваре генерише и испушта две белешке о откупнини у облику '.хта' и .ткт датотека. Обавештење о откупнини не наводи тражену накнаду за откуп, али захтева да се накнада за откупнину плати у биткоинима, а такође даје упутства о куповини биткоина ако жртва није упозната са тим. Када контактирају криминалце преко једне од две адресе е-поште које се налазе у обавештењу о откупнини, жртве могу да пошаљу пет фајлова, који ће бити откључани или бесплатни, све док укупна величина не прелази 10МБ и не садрже кључне информације (екцел табеле, базе података, резервне копије итд.).
Жртве рансомваре-а не би требало да разматрају плаћање откупнине као решење јер је интеракција са криминалцима ризична опција која може завршити лоше за жртве. Уместо тога, требало би да преузму и инсталирају реномирани алат за заштиту од малвера како би уклонили Ворри Рансомваре са својих система.
Порука о откупнини под називом инфо.хта гласи:
„Све ваше датотеке су шифроване!
Све ваше датотеке су шифроване због безбедносног проблема са рачунаром. Ако желите да их вратите, пишите нам на е-маил д0нтв0рри@циберфеар.цом
Упишите овај ИД у наслов поруке –
У случају да нема одговора у року од 24 сата, пишите нам на овај е-маил: рахмуд1954@цоцк.емаил
Морате да платите за дешифровање у биткоинима. Цена зависи од тога колико брзо нам пишете. Након уплате послаћемо вам алат који ће дешифровати све ваше датотеке.
Бесплатно дешифровање као гаранција
Пре плаћања можете нам послати до 5 датотека за бесплатну дешифровање. Укупна величина датотека мора бити мања од 4Мб (не архивирана), а датотеке не би требало да садрже вредне информације. (базе података, резервне копије, велики Екцел листови, итд.)
Како доћи до биткоина
Најлакши начин за куповину биткоина је сајт ЛоцалБитцоинс. Морате се регистровати, кликнути на 'Купи биткоине' и изабрати продавца по начину плаћања и цени.
хттпс://лоцалбитцоинс.цом/буи_битцоинс
Такође можете пронаћи друга места за куповину биткоина и водич за почетнике овде:
хттп://ввв.цоиндеск.цом/информатион/хов-цан-и-буи-битцоинс/
Пажња!
Немојте преименовати шифроване датотеке.
Не покушавајте да дешифрујете своје податке помоћу софтвера треће стране, то може довести до трајног губитка података.
Дешифровање ваших датотека уз помоћ трећих страна може довести до повећања цене (они додају своју накнаду на нашу) или можете постати жртва преваре.'
Порука о откупнини под називом инфо.ткт гласи:
'!!!Све ваше датотеке су шифроване!!!
Да бисте их дешифровали, пошаљите е-пошту на ову адресу: д0нтв0рри@циберфеар.цом.
Ако не одговоримо у року од 24х, пошаљите е-маил на ову адресу: рахмуд1954@цоцк.емаил'
