GCNI 勒索软件

用户绝不应低估GCNI Ransomware 造成损害的能力。信息安全研究人员已将 GCNI Ransomware 确定为Spora Ransomware系列的变体。 GCNI 采用的强加密算法能够锁定众多目标文件类型中的任何一种完全地。希望恢复对其数据的访问权的受害者被攻击者勒索，据称他们会在获得报酬后发送所需的解密密钥。

在其加密过程中，GCNI 显着修改了锁定文件的名称。它添加了一个 ID 字符串、一个电子邮件地址和一个新的文件扩展名。每个受害者的 ID 都是唯一的，电子邮件地址是"FilesRecoverEN@Gmail.com"，文件扩展名是".GCNI"。威胁在被破坏的系统上丢下两张赎金票据。一个包含在名为"Read_Me!_.txt"的文本文件中，而另一个将显示在弹出窗口中。

赎金票据概述

这两个笔记共享了许多相同的细节。他们表示受害者将需要使用比特币加密货币支付赎金。他们还应该尝试在攻击发生后的 48 小时内联系黑客，否则就有不得不支付两倍于初始赎金的风险。如果受害者建立联系的时间过长，恢复其数据所需的解密密钥将从黑客的服务器中删除，从而导致文件无法恢复。

该说明提到了受攻击者控制的两个电子邮件地址——"FilesRecoverEN@Gmail.com"和"FilesRecoverEN@Onionmail.org"。作为他们信息的一部分，受害者被告知发送几个应该被解密并免费返回的锁定文件。备注中的唯一要求是文件的大小必须小于 2MB，并且不应包含任何重要信息。

文本文件中的消息是：

'你所有的文件都用最强的加密算法加密！

如果您确实需要您的文件，请给我们发送电子邮件以获取解密工具和说明
您必须将一些锁定的文件发送给我们进行解密测试（付款前）！

如果您不给我们发送电子邮件并且在一段时间后不需要您的文件，我们的服务器将从服务器中删除您的解密密钥！！！

您的唯一 ID：
电子邮件地址：FilesRecoverEN@Gmail.com

注意力！！！
主题您的唯一 ID

不要编辑或重命名加密文件。

如果您在 48 小时后不给我们发送电子邮件，解密费用将翻倍。
不要尝试通过第三方或数据恢复软件解密文件，这可能会损坏文件。
如果尝试使用第三方软件解密文件，这可能会使解密更加困难，因此价格会上涨。

弹出窗口显示以下说明：

您的所有文件都已加密！

由于您的 PC 存在安全问题，您的所有文件都已加密（使用最强加密算法）。如果您确实需要您的文件，请给我们发送电子邮件以获取解密工具。
恢复文件的唯一方法是购买解密工具（必须用比特币付款）。如果您在 48 小时后不给我们发送电子邮件，解密费用将翻倍。
如果您不给我们发送电子邮件并且在一段时间后不需要您的文件，我们的服务器将自动从服务器中删除您的解密密钥！
我们的电子邮件地址 : FilesRecoverEN@Gmail.com
您的个人 ID :-
发送的电子邮件应包含您的个人 ID。如果没有得到回复或任何其他问题，请给我们写电子邮件：FilesRecoverEN@Onionmail.org
检查您的垃圾邮件文件夹。

我们给你什么保证？
您可以（必须）发送一些文件进行解密测试（付款前）。文件大小必须小于 2MB，并且文件不应包含有价值的数据（备份、数据库等）。

如何购买比特币
在 LocalBitcoins 获取购买比特币的说明：
hxxps://localbitcoins.com/guides/how-to-buy-bitcoins
通过在 Google 上搜索，在 Coindesk 和其他网站上购买比特币说明：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力 ！！
不要编辑或重命名加密文件。
不要尝试通过第三方或数据恢复软件解密文件，这可能会永久损坏文件。
如果尝试使用第三方解密文件，恢复软件可能会使解密更加困难，因此价格会上涨。 '