Nordteam Ransomware

心懷不軌的威脅行為者基於Spora Ransomware系列創建了一種新的勒索軟件威脅。通過使用強大的加密程序，Nordteam Ransomware 能夠鎖定各種文件類型，使它們處於完全無法使用的狀態。受影響的用戶會注意到他們可以再打開照片、PDF、文檔、檔案、數據庫等。

Nordteam Ransomware 將為每個受感染的設備分配一個唯一的 ID 字符串。它還將在加密文件的原始名稱末尾附加一個隨機的 4 個字符的字符串。在受害者設備上的所有目標文件類型都被鎖定後，威脅將繼續傳遞其勒索信。事實上，Nordteam Ransomware 創建了兩種不同的勒索信息。一個位於名為“ReadMe.hta”的文件中，另一個位於名為“[victim's_ID] ReadMe.txt”的文本文件中。

需求概覽

打開“.hta”文件中的第一條勒索信息，受害者將獲得的有用信息很少。它只是提到受影響的用戶應該通過提供的兩個電子郵件地址聯繫攻擊者——“Nordteam@mail.ee”和“Nordtalk@tutanota.com”。另一張贖金記錄也提到了電子郵件，但包含更多細節。

它揭示了黑客據稱還設法從被破壞的系統中收集了重要或機密數據。如果受害者拒絕支付所要求的金額，威脅行為者將向公眾公佈獲得的私人信息。該說明還指出，贖金的大小將取決於受害者與網絡犯罪分子聯繫的速度。 48 小時後，贖金的價格將翻倍。

在“ReadMe.hta”文件中找到的消息內容如下：

'文件加密需要解密？聯繫我們：Nordteam@mail.ee 或 Nordtalk@tutanota.com '

作為文本文件交付的贖金票據是：

'您的數據已被鎖定，重要數據已下載 xls、PDF 文件、文檔、發票 .. 。

對於解密文件，您應該購買我們的解密程序，我們將向您發送解密工具並從服務器中刪除您的重要文件。

如果不付款，我們將發布您的重要數據或將其出售/發送給您的競爭對手，如果不想付款，您的解密密鑰將從服務器中刪除。

* 警告：* 沒有其他人可以幫助您，不要浪費您的業務時間，提供幫助的任何人/任何公司都會向我們收取額外費用，否則只會欺騙您。

您的個人身份證：

我們的電子郵件地址：Nordteam@mail.ee

如果您在收到第一封電子郵件後 24 小時內未收到回复，請發送電子郵件至：Nordtalk@tutanota.com

48小時內不聯繫解密價格翻倍，這只是商業獲取利益。

價格取決於您與我們聯繫、發送個人 ID 和檢查垃圾郵件的速度。

我們的保證是什麼？

您可以發送一些文件進行解密測試，我們將解密並發送給您。

--------------------------------------

注意力！

不要修改，重命名受感染的文件。

使用第三方恢復軟件可能會永遠損壞您的數據。

--------------------------------------

購買比特幣：

Coindesk 鏈接：

hxxps://www.coindesk.com/learn/how-can-i-buy-bitcoin/

LocalBitcoins 鏈接，您可以在 Google 獲得更多信息：

hxxps://localbitcoins.com/guides/how-to-buy-bitcoins '