NMO Ransomware
Ang banta ng NMO Ransomware ay maaaring gamitin ng mga cybercriminal upang i-lock ang data ng kanilang mga biktima. Ang banta ay nagtataglay ng kakayahang mag-encrypt ng maraming uri ng file, habang tinitiyak ng malakas na cryptographic algorithm na ang mga naka-lock na file ay halos imposibleng maibalik nang walang kinakailangang mga decryption key. Pagkatapos suriin ang NMO Ransomware, kinumpirma ng mga mananaliksik ng infosec na isa itong variant mula sa pamilya ng Dharma malware.
Bukod sa pag-encrypt ng mga file na nakaimbak sa mga nalabag na device, ang banta ay bumubuo rin ng isang partikular na string ng ID para sa bawat biktima. Idinaragdag ng NMO ang string na iyon sa mga orihinal na pangalan ng mga naka-encrypt na file, na sinusundan ng isang email address na kinokontrol ng mga umaatake. Sa kasong ito, ang email ay 'dr.nemo@tutanota.com.' Panghuli, ang '.NMO' ay idadagdag bilang bagong extension ng file.
Ang banta ay naghahatid din ng dalawang ransom notes sa mga nahawaang sistema. Ang isa ay ibinaba bilang isang text file na pinangalanang 'info.txt.' Ang mensahe nito ay nagsasaad na ang mga user na gustong ibalik ang kanilang mga file ay dapat magsimulang makipag-ugnayan sa mga umaatake sa pamamagitan ng pagmemensahe sa 'dr.nemo@tutanota.com' o 'mr.helper@gmx.com.' Ang isang mas mahabang mensaheng humihingi ng ransom ay ipapakita bilang isang pop-up window. Nabigo itong magbigay ng anumang karagdagang mga detalye, na naglalaman lamang ng isang seksyon na may iba't ibang mga babala.
Ang text file ay naglalaman ng sumusunod na mensahe:
' lahat ng iyong data ay na-lock sa amin
Gusto mong bumalik?
sumulat ng email dr.nemo@tutanota.com o mr.helper@gmx.comAng pop-up window ay nagpakita ng mga sumusunod na tagubilin:
ANG IYONG MGA FILES AY NA-ENCRYPTED
ZAQ
Huwag mag-alala, maaari mong ibalik ang lahat ng iyong mga file!
Kung gusto mong ibalik ang mga ito, sumulat sa koreo: dr.nemo@tutanota.com IYONG ID -
Kung hindi ka sumagot sa pamamagitan ng koreo sa loob ng 12 oras, sumulat sa amin sa pamamagitan ng ibang mail:mr.helper@gmx.comPANSIN!
Inirerekomenda namin na makipag-ugnayan ka sa amin nang direkta upang maiwasan ang labis na pagbabayad ng mga ahenteHuwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang software ng third party, maaari itong magdulot ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng presyo (idinadagdag nila ang kanilang bayad sa amin) o maaari kang maging biktima ng isang scam. '
