ORCA Ransomware

ORCA Ransomware är ett hot mot skadlig kod utrustad med potenta krypteringsmöjligheter. När den väl har infiltrerat de riktade datorerna kommer hotet att låsa de olika filerna som finns lagrade där - dokument, PDF-filer, arkiv, databaser, bilder, foton, etc. Återställning av de drabbade filerna utan de rätta dekrypteringsnycklarna är vanligtvis omöjligt. När cybersäkerhetsforskare analyserade ORCA Ransomware upptäckte de att det är en variant av ZEPPELIN malware-familjen.

Offren för hotet kommer att märka att deras ursprungliga namn har ändrats. Faktum är att hotet lägger till ".ORCA" följt av en ID-sträng som genereras specifikt för offret som nya filtillägg. Berörda användare eller organisationer kommer också att märka att en obekant fil med namnet 'HOW_TO_RECOVER_DATA.hta' har dykt upp på skrivbordet på enheterna som har brutits. Syftet med filen är att leverera en lösennota med instruktioner från angriparna.

Enligt meddelandet, förutom att låsa offrets filer, har hotaktörerna också lyckats exfiltrera viktig konfidentiell data som nu finns lagrad på deras privata server. Detta är en vanlig taktik som används vid dubbelutpressningsoperationer. Offren får 72 timmar på sig att betala en lösensumma i Bitcoin. Efter den perioden är över hotar hackarna att radera den dekrypteringsnyckel som behövs för att återställa de låsta filerna. Dessutom, om de inte får den begärda betalningen, kommer hackarna också att publicera den insamlade informationen till allmänheten. I lösennotan nämns två e-postadresser - 'GoldenSunMola@aol.com' och 'GoldenSunMola@cyberfear.com' som potentiella kommunikationskanaler

Den fullständiga texten i ORCA Ransomwares anteckning är:

' DINA FILER HAR KRYPTERATS
Ditt ID att dekryptera:
Kontakta oss: GoldenSunMola@aol.com | GoldenSunMola@cyberfear.com

Tyvärr för dig är du på grund av en allvarlig sårbarhet i IT-säkerheten sårbar för attacker!
För att dekryptera filer måste du skaffa en privat nyckel.
Den enda kopian av den hemliga nyckeln som kan användas för att dekryptera filer finns på en privat server.
Servern kommer att förstöra nyckeln inom 72 timmar efter att krypteringen är klar.
För att spara nyckeln under en längre tid kan du kontakta oss och uppge ditt ID!

Dessutom samlar vi in strikt konfidentiella/personliga uppgifter.
Dessa data lagras också på en privat server.
Dina uppgifter kommer att raderas först efter betalning!
Om du bestämmer dig för att inte betala kommer vi att publicera dina uppgifter till alla eller återförsäljare.
Så du kan förvänta dig att din data blir allmänt tillgänglig inom en snar framtid!

Det är bara ett företag och vi bryr oss bara om att göra vinst!
Det enda sättet att få tillbaka dina filer är att kontakta oss för ytterligare instruktioner!
För att upprätta en förtroenderelation kan du skicka 1 fil för testdekryptering (högst 5 MB)

Slösa inte din tid på att söka efter andra dekrypteringsmetoder - DET FINNS INGEN, du kommer att betala mer för din tid!
Varje dag ökar priset på dekryptering!
Byt inte namn på krypterade filer.
Använd inte tredjepartsprogram för att dekryptera filer - de kan bara göra skada!
Efter betalning får du en dekoder (.exe), du behöver bara köra den, och den kommer att göra allt av sig själv.
Jag accepterar bara Bitcoins! Du kan lära dig hur du köper dem på Internet. '