Nordteam Ransomware

心怀不轨的威胁行为者基于Spora Ransomware系列创建了一种新的勒索软件威胁。通过使用强大的加密程序，Nordteam Ransomware 能够锁定各种文件类型，使它们处于完全无法使用的状态。受影响的用户会注意到他们可以再打开照片、PDF、文档、档案、数据库等。

Nordteam Ransomware 将为每个受感染的设备分配一个唯一的 ID 字符串。它还将在加密文件的原始名称末尾附加一个随机的 4 个字符的字符串。在受害者设备上的所有目标文件类型都被锁定后，威胁将继续传递其勒索信。事实上，Nordteam Ransomware 创建了两种不同的勒索信息。一个位于名为“ReadMe.hta”的文件中，另一个位于名为“[victim's_ID] ReadMe.txt”的文本文件中。

需求概览

打开“.hta”文件中的第一条勒索信息，受害者将获得的有用信息很少。它只是提到受影响的用户应该通过提供的两个电子邮件地址联系攻击者——“Nordteam@mail.ee”和“Nordtalk@tutanota.com”。另一张赎金记录也提到了电子邮件，但包含更多细节。

它揭示了黑客还据称设法从被破坏的系统中收集重要或机密数据。如果受害者拒绝支付要求的金额，威胁行为者将向公众公布获得的私人信息。该说明还指出，赎金的大小将取决于受害者与网络犯罪分子联系的速度。 48 小时后，赎金的价格将翻倍。

在“ReadMe.hta”文件中找到的消息内容如下：

'文件加密需要解密？联系我们：Nordteam@mail.ee 或 Nordtalk@tutanota.com '

作为文本文件交付的赎金票据是：

'您的数据已被锁定，重要数据已下载 xls、PDF 文件、文档、发票 .. 。

对于解密文件，您应该购买我们的解密程序，我们将向您发送解密工具并从服务器中删除您的重要文件。

如果不付款，我们将发布您的重要数据或将其出售/发送给您的竞争对手，如果不想付款，您的解密密钥将从服务器中删除。

* 警告：* 没有其他人可以帮助您，不要浪费您的业务时间，提供帮助的任何人/任何公司都会向我们收取额外费用，否则只会欺骗您。

您的个人身份证：

我们的电子邮件地址：Nordteam@mail.ee

如果您在收到第一封电子邮件后 24 小时内未收到回复，请发送电子邮件至：Nordtalk@tutanota.com

48小时内不联系解密价格翻倍，这只是商业获取利益。

价格取决于您与我们联系、发送个人 ID 和检查垃圾邮件的速度。

我们的保证是什么？

您可以发送一些文件进行解密测试，我们将解密并发送给您。

--------------------------------------

注意力！

不要修改，重命名受感染的文件。

使用第三方恢复软件可能会永远损坏您的数据。

--------------------------------------

购买比特币：

Coindesk 链接：

hxxps://www.coindesk.com/learn/how-can-i-buy-bitcoin/

LocalBitcoins 链接，您可以在 Google 获得更多信息：

hxxps://localbitcoins.com/guides/how-to-buy-bitcoins '