NMO Ransomware
อาชญากรไซเบอร์สามารถใช้ภัยคุกคาม NMO Ransomware เพื่อล็อคข้อมูลของเหยื่อได้ ภัยคุกคามมีความสามารถในการเข้ารหัสไฟล์หลายประเภท ในขณะที่อัลกอริธึมการเข้ารหัสที่แข็งแกร่งทำให้มั่นใจได้ว่าไฟล์ที่ถูกล็อคจะกู้คืนไม่ได้โดยไม่ต้องมีคีย์ถอดรหัสที่จำเป็น หลังจากวิเคราะห์ NMO Ransomware นักวิจัยของ infosec ยืนยันว่าเป็นตัวแปรจากตระกูลมัลแวร์ Dharma
นอกเหนือจากการเข้ารหัสไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกละเมิด ภัยคุกคามยังสร้างสตริง ID เฉพาะสำหรับเหยื่อแต่ละราย NMO ต่อท้ายสตริงนั้นกับชื่อดั้งเดิมของไฟล์ที่เข้ารหัส ตามด้วยที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี ในกรณีนี้ อีเมลคือ 'dr.nemo@tutanota.com' สุดท้าย '.NMO' จะถูกเพิ่มเป็นนามสกุลไฟล์ใหม่
ภัยคุกคามยังส่งบันทึกค่าไถ่สองรายการไปยังระบบที่ติดไวรัส ไฟล์หนึ่งถูกทิ้งเป็นไฟล์ข้อความชื่อ 'info.txt' ข้อความระบุว่าผู้ใช้ที่ต้องการรับไฟล์กลับต้องเริ่มติดต่อกับผู้โจมตีด้วยการส่งข้อความ 'dr.nemo@tutanota.com' หรือ 'mr.helper@gmx.com' ข้อความเรียกร้องค่าไถ่ที่ยาวขึ้นจะแสดงเป็นหน้าต่างป๊อปอัป ไม่สามารถให้รายละเอียดเพิ่มเติมได้ เพียงแค่มีส่วนที่มีคำเตือนต่างๆ
ไฟล์ข้อความมีข้อความต่อไปนี้:
' ข้อมูลของคุณทั้งหมดถูกล็อคเรา
คุณต้องการที่จะกลับมา?
เขียนอีเมล dr.nemo@tutanota.com หรือ mr.helper@gmx.comหน้าต่างป๊อปอัปแสดงคำแนะนำต่อไปนี้:
ไฟล์ของคุณถูกเข้ารหัส
ZAQ
ไม่ต้องกังวล คุณสามารถส่งคืนไฟล์ทั้งหมดของคุณได้!
หากคุณต้องการกู้คืน โปรดเขียนไปที่อีเมล: dr.nemo@tutanota.com ID ของคุณ -
หากคุณไม่ตอบกลับทางไปรษณีย์ภายใน 12 ชั่วโมง โปรดเขียนถึงเราที่อีเมลอื่น:mr.helper@gmx.comความสนใจ!
เราขอแนะนำให้คุณติดต่อเราโดยตรงเพื่อหลีกเลี่ยงการจ่ายเงินเกินตัวแทนอย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวง '