GCNI 勒索軟件

用戶絕不應低估GCNI Ransomware 造成損害的能力。信息安全研究人員已將 GCNI Ransomware 確定為Spora Ransomware系列的變體。 GCNI 採用的強加密算法能夠鎖定眾多目標文件類型中的任何一種完全地。希望恢復對其數據的訪問權限的受害者被攻擊者勒索，據稱他們會在獲得報酬後發送所需的解密密鑰。

在其加密過程中，GCNI 顯著修改了鎖定文件的名稱。它添加了一個 ID 字符串、一個電子郵件地址和一個新的文件擴展名。每個受害者的 ID 都是唯一的，電子郵件地址是"FilesRecoverEN@Gmail.com"，文件擴展名是".GCNI"。威脅在被破壞的系統上丟下兩張贖金票據。一個包含在名為"Read_Me!_.txt"的文本文件中，而另一個將顯示在彈出窗口中。

贖金票據概述

這兩個筆記共享了許多相同的細節。他們表示受害者將需要使用比特幣加密貨幣支付贖金。他們還應該嘗試在攻擊發生後的 48 小時內聯繫黑客，否則就有不得不支付兩倍於初始贖金的風險。如果受害者建立聯繫的時間過長，恢復其數據所需的解密密鑰將從黑客的服務器中刪除，從而導致文件無法恢復。

該說明提到了受攻擊者控制的兩個電子郵件地址——"FilesRecoverEN@Gmail.com"和"FilesRecoverEN@Onionmail.org"。作為他們信息的一部分，受害者被告知發送幾個應該被解密並免費返回的鎖定文件。備註中的唯一要求是文件的大小必須小於 2MB，並且不應包含任何重要信息。

文本文件中的消息是：

'你所有的文件都用最強的加密算法加密！

如果您確實需要您的文件，請給我們發送電子郵件以獲取解密工具和說明
您必須將一些鎖定的文件發送給我們進行解密測試（付款前）！

如果您不給我們發送電子郵件並且在一段時間後不需要您的文件，我們的服務器將從服務器中刪除您的解密密鑰！！！

您的唯一 ID：
電子郵件地址：FilesRecoverEN@Gmail.com

注意力！！！
主題您的唯一 ID

不要編輯或重命名加密文件。

如果您在 48 小時後不給我們發送電子郵件，解密費用將翻倍。
不要嘗試通過第三方或數據恢復軟件解密文件，這可能會損壞文件。
如果嘗試使用第三方軟件解密文件，這可能會使解密更加困難，因此價格會上漲。

彈出窗口顯示以下說明：

您的所有文件都已加密！

由於您的 PC 存在安全問題，您的所有文件都已加密（使用最強加密算法）。如果您確實需要您的文件，請給我們發送電子郵件以獲取解密工具。
恢復文件的唯一方法是購買解密工具（必須用比特幣付款）。如果您在 48 小時後不給我們發送電子郵件，解密費用將翻倍。
如果您不給我們發送電子郵件並且在一段時間後不需要您的文件，我們的服務器將自動從服務器中刪除您的解密密鑰！
我們的電子郵件地址 : FilesRecoverEN@Gmail.com
您的個人 ID :-
發送的電子郵件應包含您的個人 ID。如果沒有得到回复或任何其他問題，請給我們寫電子郵件：FilesRecoverEN@Onionmail.org
檢查您的垃圾郵件文件夾。

我們給你什麼保證？
您可以（必須）發送一些文件進行解密測試（付款前）。文件大小必須小於 2MB，並且文件不應包含有價值的數據（備份、數據庫等）。

如何購買比特幣
在 LocalBitcoins 獲取購買比特幣的說明：
hxxps://localbitcoins.com/guides/how-to-buy-bitcoins
通過在 Google 上搜索，在 Coindesk 和其他網站上購買比特幣說明：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力 ！！
不要編輯或重命名加密文件。
不要嘗試通過第三方或數據恢復軟件解密文件，這可能會永久損壞文件。
如果嘗試使用第三方解密文件，恢復軟件可能會使解密更加困難，因此價格會上漲。 '