ORCA Ransomware
Ang ORCA Ransomware ay isang banta ng malware na nilagyan ng makapangyarihang mga kakayahan sa pag-encrypt. Kapag nakapasok na ito sa mga naka-target na computer, ila-lock ng banta ang iba't ibang mga file na nakaimbak doon - mga dokumento, PDF, archive, database, larawan, larawan, atbp. Ang pagpapanumbalik ng mga apektadong file nang walang wastong mga decryption key ay karaniwang imposible. Nang sinuri ng mga mananaliksik sa cybersecurity ang ORCA Ransomware, natuklasan nila na isa itong variant ng ZEPPELIN malware family.
Mapapansin ng mga biktima ng banta na ang kanilang mga file ay binago ang kanilang mga orihinal na pangalan. Sa katunayan, ang banta ay nagdaragdag ng '.ORCA' na sinusundan ng isang string ng ID na partikular na nabuo para sa biktima bilang mga bagong extension ng file. Mapapansin din ng mga apektadong user o organisasyon na may lumabas na hindi pamilyar na file na may pangalang 'HOW_TO_RECOVER_DATA.hta' sa desktop ng mga nalabag na device. Ang layunin ng file ay maghatid ng ransom note na may mga tagubilin mula sa mga umaatake.
Ayon sa mensahe, bukod sa pag-lock ng mga file ng biktima, nagawa rin ng mga threat actor na i-exfiltrate ang mahalagang confidential data na ngayon ay naka-store sa kanilang private server. Ito ay isang karaniwang taktika na ginagamit sa mga operasyong double-extortion. Ang mga biktima ay binibigyan ng 72 oras para magbayad ng ransom sa Bitcoin. Pagkatapos ng panahong iyon, nagbabanta ang mga hacker na tanggalin ang decryption key na kailangan para sa pagpapanumbalik ng mga naka-lock na file. Bilang karagdagan, kung hindi nila natanggap ang hiniling na bayad, ang mga hacker ay mag-publish din ng mga nakolektang data sa publiko. Binanggit ng ransom note ang dalawang email address - 'GoldenSunMola@aol.com' at 'GoldenSunMola@cyberfear.com,' bilang mga potensyal na channel ng komunikasyon
Ang buong teksto ng tala ng ORCA Ransomware ay:
' ANG IYONG MGA FILES AY NA-ENCRYPTED
Ang iyong ID upang i-decrypt:
Makipag-ugnayan sa amin: GoldenSunMola@aol.com | GoldenSunMola@cyberfear.comSa kasamaang palad para sa iyo, dahil sa isang malubhang kahinaan sa seguridad ng IT, mahina ka sa mga pag-atake!
Upang i-decrypt ang mga file, kailangan mong kumuha ng pribadong key.
Ang tanging kopya ng sikretong susi na magagamit sa pag-decrypt ng mga file ay nasa pribadong server.
Sisirain ng server ang susi sa loob ng 72h pagkatapos makumpleto ang pag-encrypt.
Upang i-save ang susi sa mas mahabang panahon, maaari kang makipag-ugnayan sa amin at ibigay ang iyong ID!Bilang karagdagan, kinokolekta namin ang mahigpit na kumpidensyal/personal na data.
Ang data na ito ay nakaimbak din sa isang pribadong server.
Ang iyong data ay tatanggalin lamang pagkatapos ng pagbabayad!
Kung magpasya kang hindi magbayad, ipa-publish namin ang iyong data sa lahat o mga reseller.
Kaya maaari mong asahan na ang iyong data ay magiging available sa publiko sa malapit na hinaharap!Negosyo lang at kumikita lang ang iniisip namin!
Ang tanging paraan upang maibalik ang iyong mga file ay ang makipag-ugnayan sa amin para sa karagdagang mga tagubilin!
Upang magtatag ng ugnayan ng tiwala, maaari kang magpadala ng 1 file para sa pag-decryption ng pagsubok (hindi hihigit sa 5 MB)Huwag sayangin ang iyong oras sa paghahanap para sa iba pang mga paraan ng pag-decryption - WALA, magbabayad ka ng higit para sa iyong oras!
Araw-araw tumataas ang presyo ng decryption!
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag gumamit ng mga programa ng third-party upang i-decrypt ang mga file - maaari lamang silang makapinsala!
Pagkatapos ng pagbabayad, makakakuha ka ng isang decoder (.exe), kailangan mo lamang itong patakbuhin, at gagawin nito ang lahat nang mag-isa.
Tumatanggap lang ako ng Bitcoins! Maaari mong malaman kung paano bilhin ang mga ito sa Internet. '
