Програма-вимагач GonaCry

GonaCry — це програма-вимагач, яка має здатність шифрувати файли, змінювати назви зашифрованих файлів, змінювати фоновий малюнок робочого столу та залишати повідомлення про викуп у формі файлу read_it.txt. Програма-вимагач GonaCry додає випадкове розширення з 4 символів до кожного із зашифрованих імен файлів. Наприклад, файл із назвою «1.jpg» можна перейменувати на «1.jpg.h863», а файл із назвою «2.doc» можна змінити на «2.doc.i9as». Така угода про найменування допомагає зловмисникам розрізняти зашифровані та незашифровані файли.

Огляд вимог програми-вимагача GonaCry

Записка про викуп інформує жертв про те, що їхня операційна система була скомпрометована програмою-вимагачем GonaCry, через що всі файли стали недоступними. Винуватці атаки пропонують продати спеціалізоване програмне забезпечення для дешифрування, яке, як вони стверджують, відновить уражені файли та знищить програмне забезпечення-вимагач.

Вартість програмного забезпечення для розшифровки становить 50 доларів США та оплачується в криптовалюті Monero. Викуп має бути здійснений за допомогою адреси криптогаманця Monero, зазначеної в інструкціях зловмисників.

Типова тактика, що використовується для розповсюдження загроз, таких як програма-вимагач GonaCry

Програми-вимагачі зазвичай поширюються через фішингові електронні листи, пошкоджені вкладення та випадкові завантаження. Фішингові електронні листи – це повідомлення, які нібито надійшли з надійного джерела, але насправді містять пошкоджене посилання або вкладення, яке під час відкриття заражає пристрій жертви програмою-вимагачем. Пошкоджені вкладення – це файли, надіслані як частина електронного листа, які виглядають законними, але містять зловмисне програмне забезпечення. Завантаження Drive-by – це пошкоджені файли, які автоматично завантажуються на пристрій жертви, коли вона відвідує заражений веб-сайт.

Ще один поширений спосіб розповсюдження програм-вимагачів – це використання вразливостей у програмному забезпеченні та операційних системах. Зловмисники використовують інструменти для пошуку невиправлених систем, а потім використовують знайдені вразливості для встановлення програми-вимагача. Крім того, деякі зловмисники також використовують однорангові мережі та методи соціальної інженерії для поширення програм-вимагачів. У деяких випадках зловмисники також можуть використовувати інше зловмисне програмне забезпечення, як-от трояни, для встановлення програм-вимагачів на пристрої жертви.

Методи, які використовуються для розповсюдження програм-вимагачів, постійно вдосконалюються, і постійно розробляються нові методи. Тому вкрай важливо бути в курсі останніх загроз і вживати заходів для захисту від них, наприклад регулярно оновлювати програмне забезпечення та операційні системи, уникати натискання підозрілих посилань або вкладень і застосовувати надійні методи безпеки.

Вміст записки про викуп, залишеної програмою-вимагачем GonaCry на заражених пристроях, такий:

'----> GonaCry — багатомовна програма-вимагач. Перекладіть свою нотатку будь-якою мовою <----
Усі ваші файли зашифровано
Ваш комп’ютер було заражено вірусом-вимагачем. Ваші файли зашифровано, а ви не зашифруєте
мати можливість розшифрувати їх без нашої допомоги. Що я можу зробити, щоб повернути свої файли? Ви можете придбати наші спеціальні
програмне забезпечення для дешифрування, це програмне забезпечення дозволить вам відновити всі ваші дані та видалити
програми-вимагачі з вашого комп’ютера. Ціна програмного забезпечення становить 50 доларів США. Оплату можна здійснити лише в Monero.
Як платити, де взяти Monero?
Придбання біткойнів залежить від країни, тож радимо виконати швидкий пошук у Google
самостійно дізнайтеся, як купити Monero.
Багато наших клієнтів повідомили, що ці сайти швидкі та надійні:
Localmonero - hxxps://localmonero.co/

Інформація про оплатуСума: 0,27 XMR
Адреса XMR: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

На робочому столі відображається таке повідомлення:

!! УВАГА!!

ВАШІ ФАЙЛИ ЗАШИФРОВАНО!

Усі ваші документи, фотографії, бази даних та інші важливі файли зашифровано за допомогою шифрування RSA.

Ви не зможете відновити свій файл без закритого ключа, збереженого на нашому сервері.

Антивірус не може відновити ваші файли

Надішліть BTC на суму 50$ на цю адресу:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5

Або надішліть XMR на суму 50 доларів на цю адресу:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'