NMO Ransomware

อาชญากรไซเบอร์สามารถใช้ภัยคุกคาม NMO Ransomware เพื่อล็อคข้อมูลของเหยื่อได้ ภัยคุกคามมีความสามารถในการเข้ารหัสไฟล์หลายประเภท ในขณะที่อัลกอริธึมการเข้ารหัสที่แข็งแกร่งทำให้มั่นใจได้ว่าไฟล์ที่ถูกล็อคจะกู้คืนไม่ได้โดยไม่ต้องมีคีย์ถอดรหัสที่จำเป็น หลังจากวิเคราะห์ NMO Ransomware นักวิจัยของ infosec ยืนยันว่าเป็นตัวแปรจากตระกูลมัลแวร์ Dharma

นอกเหนือจากการเข้ารหัสไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกละเมิด ภัยคุกคามยังสร้างสตริง ID เฉพาะสำหรับเหยื่อแต่ละราย NMO ต่อท้ายสตริงนั้นกับชื่อดั้งเดิมของไฟล์ที่เข้ารหัส ตามด้วยที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี ในกรณีนี้ อีเมลคือ 'dr.nemo@tutanota.com' สุดท้าย '.NMO' จะถูกเพิ่มเป็นนามสกุลไฟล์ใหม่

ภัยคุกคามยังส่งบันทึกค่าไถ่สองรายการไปยังระบบที่ติดไวรัส ไฟล์หนึ่งถูกทิ้งเป็นไฟล์ข้อความชื่อ 'info.txt' ข้อความระบุว่าผู้ใช้ที่ต้องการรับไฟล์กลับต้องเริ่มติดต่อกับผู้โจมตีด้วยการส่งข้อความ 'dr.nemo@tutanota.com' หรือ 'mr.helper@gmx.com' ข้อความเรียกร้องค่าไถ่ที่ยาวขึ้นจะแสดงเป็นหน้าต่างป๊อปอัป ไม่สามารถให้รายละเอียดเพิ่มเติมได้ เพียงแค่มีส่วนที่มีคำเตือนต่างๆ

ไฟล์ข้อความมีข้อความต่อไปนี้:

' ข้อมูลของคุณทั้งหมดถูกล็อคเรา
คุณต้องการที่จะกลับมา?
เขียนอีเมล dr.nemo@tutanota.com หรือ mr.helper@gmx.com

หน้าต่างป๊อปอัปแสดงคำแนะนำต่อไปนี้:

ไฟล์ของคุณถูกเข้ารหัส

ZAQ

ไม่ต้องกังวล คุณสามารถส่งคืนไฟล์ทั้งหมดของคุณได้!
หากคุณต้องการกู้คืน โปรดเขียนไปที่อีเมล: dr.nemo@tutanota.com ID ของคุณ -
หากคุณไม่ตอบกลับทางไปรษณีย์ภายใน 12 ชั่วโมง โปรดเขียนถึงเราที่อีเมลอื่น:mr.helper@gmx.com

ความสนใจ!
เราขอแนะนำให้คุณติดต่อเราโดยตรงเพื่อหลีกเลี่ยงการจ่ายเงินเกินตัวแทน

อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวง '