GonaCry Ransomware
GonaCry är ransomware som har förmågan att kryptera filer, ändra filnamnen på de krypterade filerna, modifiera skrivbordsunderlägget och lämna efter sig en lösennota i form av en 'read_it.txt'-fil. GonaCry Ransomware lägger till ett randomiserat 4-teckenförlängning till vart och ett av de krypterade filnamnen. Till exempel kan en fil med namnet '1.jpg' bytas om till '1.jpg.h863', medan en fil med namnet '2.doc' kan ändras till '2.doc.i9as'. Den här namnkonventionen hjälper angriparna skilja mellan krypterade och okrypterade filer.
En översikt över GonaCry Ransomwares krav
Lösennotan informerar offren om att deras operativsystem har äventyrats av GonaCry Ransomware, vilket gör att alla filer blir otillgängliga. Förövarna av attacken erbjuder sig att sälja specialiserad dekrypteringsmjukvara som de hävdar kommer att återställa de drabbade filerna och eliminera ransomware.
Kostnaden för dekrypteringsmjukvaran är prissatt till $50 och måste betalas i Monero, en kryptovaluta. Lösenbetalningen ska göras med Monero kryptoplånboksadress som anges i angriparnas instruktioner.
Typisk taktik som används för att sprida hot som GonaCry Ransomware
Ransomware sprids vanligtvis genom nätfiske-e-postmeddelanden, skadade bilagor och drive-by-nedladdningar. Nätfiske-e-postmeddelanden är meddelanden som verkar komma från en pålitlig källa men som i verkligheten innehåller en skadad länk eller bilaga som, när den öppnas, infekterar offrets enhet med ransomware. Skadade bilagor är filer som skickas som en del av ett e-postmeddelande som verkar legitima men innehåller skadlig programvara. Drive-by-nedladdningar är korrupta filer som automatiskt laddas ner till ett offers enhet när de besöker en infekterad webbplats.
En annan vanlig metod för distribution av ransomware är genom att utnyttja sårbarheter i mjukvara och operativsystem. Angripare använder verktyg för att söka efter oparpade system och använder sedan de hittade sårbarheterna för att installera ransomware. Vissa angripare använder dessutom peer-to-peer-nätverk och social ingenjörsteknik för att sprida ransomware. I vissa fall kan angriparna också använda annan skadlig kod, såsom trojaner, för att installera ransomware på ett offers enhet.
Metoderna som används för distribution av ransomware utvecklas ständigt, och nya tekniker utvecklas hela tiden. Därför är det avgörande att hålla sig informerad om de senaste hoten och vidta åtgärder för att skydda mot dem, som att regelbundet uppdatera programvara och operativsystem, undvika att klicka på misstänkta länkar eller bilagor och implementera starka säkerhetsrutiner.
Innehållet på lösensumman som lämnats på de infekterade enheterna av GonaCry Ransomware är:
'----> GonaCry är ransomware på flera språk. Översätt din anteckning till valfritt språk <----
Alla dina filer har krypterats
Din dator var infekterad med ett ransomware-virus. Dina filer har krypterats och du kommer inte att göra det
kunna dekryptera dem utan vår hjälp.Vad kan jag göra för att få tillbaka mina filer?Du kan köpa vår special
dekrypteringsmjukvara, kommer denna programvara att låta dig återställa alla dina data och ta bort
ransomware från din dator. Priset för programvaran är $50. Betalning kan endast göras i Monero.
Hur betalar jag, var får jag Monero?
Att köpa Bitcoin varierar från land till land, det är bäst att göra en snabb google-sökning
själv för att ta reda på hur du köper Monero.
Många av våra kunder har rapporterat att dessa webbplatser är snabba och pålitliga:
Localmonero - hxxps://localmonero.co/BetalningsinformationBelopp: 0,27 XMR
XMR-adress: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74QkMeddelandet som visas som skrivbordsbakgrund är:
!! OBS!!
DINA FILER HAR KRYPTERATS!
Alla dina dokumentfoton, databaser och andra viktiga filer har krypterats med RSA-kryptering.
Du kommer inte att kunna återställa din fil utan den privata nyckeln som har sparats på vår server.
Ett antivirusprogram kan inte återställa dina filer
Skicka BTC till ett värde av 50$ till denna adress:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5Eller skicka XMR till ett värde av 50$ till denna adress:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'
