Mã độc tống tiền GonaCry

GonaCry là phần mềm tống tiền có khả năng mã hóa tệp, thay đổi tên tệp của tệp được mã hóa, sửa đổi hình nền máy tính và để lại ghi chú đòi tiền chuộc dưới dạng tệp 'read_it.txt'. GonaCry Ransomware nối thêm một phần mở rộng gồm 4 ký tự ngẫu nhiên vào mỗi tên tệp được mã hóa. Ví dụ: tệp có tên '1.jpg' có thể được đổi tên thành '1.jpg.h863', trong khi tệp có tên '2.doc' có thể được đổi thành '2.doc.i9as". Quy ước đặt tên này giúp ích cho những kẻ tấn công phân biệt giữa các tệp được mã hóa và không được mã hóa.

Tổng quan về các yêu cầu của GonaCry Ransomware

Thông báo đòi tiền chuộc thông báo cho các nạn nhân rằng hệ điều hành của họ đã bị tấn công bởi GonaCry Ransomware, khiến tất cả các tệp không thể truy cập được. Thủ phạm của cuộc tấn công đề nghị bán phần mềm giải mã chuyên dụng mà chúng tuyên bố sẽ khôi phục các tệp bị ảnh hưởng và loại bỏ phần mềm tống tiền.

Chi phí của phần mềm giải mã có giá 50 đô la và phải được thanh toán bằng Monero, một loại tiền điện tử. Khoản thanh toán tiền chuộc sẽ được thực hiện bằng cách sử dụng địa chỉ ví tiền điện tử Monero được cung cấp trong hướng dẫn của những kẻ tấn công.

Các chiến thuật điển hình được sử dụng để chống lại các mối đe dọa phân tán như GonaCry Ransomware

Ransomware thường lây lan qua email lừa đảo, tệp đính kèm bị hỏng và tải xuống theo ổ đĩa. Email lừa đảo là những thư có vẻ như đến từ một nguồn đáng tin cậy nhưng thực tế lại chứa một liên kết hoặc tệp đính kèm bị hỏng, khi được mở ra sẽ lây nhiễm mã độc tống tiền sang thiết bị của nạn nhân. Tệp đính kèm bị hỏng là các tệp được gửi dưới dạng một phần của email có vẻ hợp pháp nhưng chứa phần mềm độc hại. Tải xuống theo ổ đĩa là các tệp bị hỏng được tự động tải xuống thiết bị của nạn nhân khi họ truy cập trang web bị nhiễm.

Một phương pháp phân phối ransomware phổ biến khác là thông qua việc khai thác các lỗ hổng trong phần mềm và hệ điều hành. Những kẻ tấn công sử dụng các công cụ để tìm kiếm các hệ thống chưa được vá và sau đó sử dụng các lỗ hổng tìm thấy để cài đặt phần mềm tống tiền. Ngoài ra, một số kẻ tấn công cũng sử dụng mạng ngang hàng và các kỹ thuật kỹ thuật xã hội để phát tán ransomware. Trong một số trường hợp, kẻ tấn công cũng có thể sử dụng phần mềm độc hại khác, chẳng hạn như Trojan, để cài đặt phần mềm tống tiền trên thiết bị của nạn nhân.

Các phương pháp được sử dụng để phân phối ransomware không ngừng phát triển và các kỹ thuật mới luôn được phát triển. Do đó, điều quan trọng là phải cập nhật thông tin về các mối đe dọa mới nhất và thực hiện các bước để bảo vệ chống lại chúng, chẳng hạn như thường xuyên cập nhật phần mềm và hệ điều hành, tránh nhấp vào các liên kết hoặc tệp đính kèm đáng ngờ và thực hiện các biện pháp bảo mật mạnh mẽ.

Nội dung trên ghi chú đòi tiền chuộc để lại trên các thiết bị bị nhiễm bởi GonaCry Ransomware là:

'----> GonaCry là ransomware đa ngôn ngữ. Dịch ghi chú của bạn sang bất kỳ ngôn ngữ nào <----
Tất cả các tệp của bạn đã được mã hóa
Máy tính của bạn đã bị nhiễm virus ransomware. Các tệp của bạn đã được mã hóa và bạn sẽ không
có thể giải mã chúng mà không cần sự trợ giúp của chúng tôi. Tôi có thể làm gì để lấy lại các tệp của mình? Bạn có thể mua gói đặc biệt của chúng tôi
phần mềm giải mã, phần mềm này sẽ cho phép bạn khôi phục tất cả dữ liệu của mình và xóa
ransomware từ máy tính của bạn. Giá cho phần mềm là $50. Thanh toán chỉ có thể được thực hiện bằng Monero.
Làm cách nào để thanh toán, tôi nhận Monero ở đâu?
Việc mua Bitcoin khác nhau giữa các quốc gia, tốt nhất bạn nên thực hiện tìm kiếm nhanh trên google
để tìm hiểu cách mua Monero.
Nhiều khách hàng của chúng tôi đã báo cáo các trang web này nhanh và đáng tin cậy:
Localmonero - hxxps://localmonero.co/

Thông tin thanh toánSố tiền: 0,27 XMR
Địa chỉ XMR: 48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk

Thông báo được hiển thị dưới dạng nền màn hình là:

!! CHÚ Ý !!

TỆP CỦA BẠN ĐÃ ĐƯỢC MÃ HÓA!

Tất cả ảnh tài liệu, cơ sở dữ liệu và các tệp quan trọng khác của bạn đã được mã hóa bằng mã hóa RSA.

Bạn sẽ không thể khôi phục tệp của mình nếu không có khóa riêng đã được lưu trên máy chủ của chúng tôi.

Phần mềm chống vi-rút không thể khôi phục tệp của bạn

Gửi BTC trị giá 50 đô la đến địa chỉ này:
1N89GorkiuhgU9TDoN1AKxby19ntWp8ub5

Hoặc Gửi XMR trị giá 50 đô la đến địa chỉ này:
48PREVmScFc9Pkga79U7tJXA7GfgtE17CqMQFeuB 3NTzJ2X28tfRmWaPyPQgvoHVhwiKUcE2QpaqBRvdhSPAF8217vH74Qk'