SHTORM Ransomware
Ang SHTORM ay isang uri ng ransomware na nag-e-encrypt ng mga file sa mga infected na computer at humihingi ng bayad kapalit ng isang decryption key. Ang mga unang pagkakataon ng SHTORM ay nakita noong 2019, at mula noon ay naging responsable na ito sa maraming pag-atake sa buong mundo. Ang SHTORM Ransomware ay kabilang sa Phobos Ransomware na pamilya ng mga banta.
Talaan ng mga Nilalaman
Paano Pumapasok ang SHTORM Ransomware sa isang Computer
Ang SHTORM Ransomware ay karaniwang inihahatid sa pamamagitan ng mga torrent website, nakompromisong email, hindi ligtas na mga advertisement o mga kahinaan sa software sa computer ng biktima. Kapag na-install na, i-scan nito ang computer para sa mga partikular na uri ng file na ie-encrypt, gaya ng mga dokumento, larawan, at archive. Ang mga naka-encrypt na file ay pinalitan ng pangalan ng isang natatanging extension, '.SHTORM', at dalawang ransom notes na pinangalanang info.hta at info.txt ay naiwan sa bawat folder na naglalaman ng mga naka-encrypt na file.
Ang Ransom Note na Inihatid ng SHTORM Ransomware
Ang ransom note ay karaniwang naglalaman ng mga tagubilin kung paano magbayad ng ransom, na karaniwang hinihingi sa Bitcoin o ibang cryptocurrency. Nagbibigay din ito ng paraan upang makipag-ugnayan sa mga umaatake upang makipag-ayos sa ransom fee, sa kasong ito ang mga address mjk20@tutanota.com (Email), @Stop_24 (Telegram), Tox messenger.
Tulad ng iba pang uri ng ransomware, ang SHTORM ay maaaring magdulot ng malaking pagkaantala at pagkalugi sa pananalapi para sa mga negosyo at indibidwal. Samakatuwid, mahalagang gumawa ng mga hakbang upang maiwasan ang impeksyon, tulad ng pagpapanatiling napapanahon ng software, paggamit ng malalakas na password, at pagiging maingat sa pagbubukas ng mga email at attachment mula sa hindi kilalang mga nagpadala. Bukod pa rito, inirerekomenda na regular na i-back up ang mga mahahalagang file at panatilihin ang mga ito na naka-imbak sa isang secure na lokasyon kung sakaling magkaroon ng ransomware attack.
Paano Magreact kung sakaling magkaroon ng impeksyon sa SHTORM Ransomware
Kung ang iyong computer ay nahawahan ng SHTORM Ransomware, ang unang hakbang ay idiskonekta ito kaagad sa Internet. Pipigilan nito ang anumang karagdagang pagkalat ng impeksyon at ihinto ang karagdagang data mula sa pag-encrypt. Dapat ka ring magpatakbo ng isang anti-malware scan sa iyong system upang makita ang anumang mga nakakahamak na file na maaaring ginamit sa pag-atake.
Sa sandaling sigurado ka na ang iyong system ay hindi na nakakonekta sa Internet, subukang tukuyin kung aling mga file ang na-encrypt ng SHTORM. Kung maaari, i-back up ang mga naka-encrypt na file na ito sa isang panlabas na storage device o cloud storage service para hindi mo tuluyang mawala ang mga ito kung magpasya kang huwag magbayad ng ransom demand.
Hindi mo dapat subukang magbayad ng ransom demand dahil walang garantiya na makakatanggap ka ng decryption key o kahit na i-unlock ang lahat ng iyong naka-encrypt na file pagkatapos magbayad. Sa halip, makipag-ugnayan sa isang eksperto sa seguridad na makakatulong sa pagtatasa ng sitwasyon at magbigay ng payo sa kung paano pinakamahusay na magpatuloy. Maaaring mabawi nila ang iyong mga file nang hindi nagbabayad ng ransom.
Ang sumusunod ay ang info.txt ransom note na ipinakita ng SHTORM Ransomware sa mga biktima nito:
'Lahat ng iyong mga file ay na-encrypt na!
Ang lahat ng iyong mga file ay na-encrypt dahil sa isang problema sa seguridad sa iyong PC. Kung gusto mong ibalik ang mga ito, sumulat sa amin sa e-mail mjk20@tutanota.com
Isulat ang ID na ito sa pamagat ng iyong mensahe 9ECFA84E-3351
Kung hindi ka makatanggap ng tugon sa loob ng 24 na oras, mangyaring makipag-ugnayan sa amin sa pamamagitan ng Telegram.org account: @Stop_24
O sumulat sa amin sa TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
Maaari mong i-download ang TOX messenger dito hxxps://tox.chat/
Kailangan mong magbayad para sa decryption sa Bitcoins. Ang presyo ay depende sa kung gaano ka kabilis sumulat sa amin. Pagkatapos ng pagbabayad, ipapadala namin sa iyo ang tool na magde-decrypt ng lahat ng iyong mga file.
Libreng decryption bilang garantiya
Bago magbayad maaari kang magpadala sa amin ng hanggang 3 file para sa libreng pag-decryption. Ang kabuuang sukat ng mga file ay dapat na mas mababa sa 4Mb (hindi naka-archive), at ang mga file ay hindi dapat maglaman ng mahalagang impormasyon. (mga database, backup, malalaking excel sheet, atbp.)
Paano makakuha ng Bitcoins
Ang pinakamadaling paraan upang bumili ng mga bitcoin ay LocalBitcoins site. Kailangan mong magparehistro, i-click ang 'Buy bitcoins', at piliin ang nagbebenta sa pamamagitan ng paraan ng pagbabayad at presyo.
hxxps://localbitcoins.com/buy_bitcoins
Maaari ka ring makahanap ng iba pang mga lugar upang bumili ng Bitcoins at gabay sa mga nagsisimula dito:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Pansin!
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang software ng third party, maaari itong magdulot ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng presyo (idinadagdag nila ang kanilang bayad sa amin) o maaari kang maging biktima ng isang scam.'
Ang info.hta ransom message ay nagbabasa ng:
'!!!Ang lahat ng iyong mga file ay naka-encrypt!!!
Upang i-decrypt ang mga ito magpadala ng e-mail sa address na ito: mjk20@tutanota.com.
Kung hindi kami sumagot sa loob ng 24h, magpadala ng messge sa telegrama: @Stop_24
O sumulat sa amin sa TOX messenger: 0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
