SHTORM 勒索軟件
SHTORM 是一種勒索軟件,它會加密受感染計算機上的文件並要求付款以換取解密密鑰。首批 SHTORM 實例於 2019 年被發現,此後它在全球範圍內引發了無數次攻擊。 SHTORM Ransomware 屬於Phobos Ransomware威脅系列。
目錄
SHTORM 勒索軟件如何進入計算機
SHTORM 勒索軟件通常通過 Torrent 網站、受感染的電子郵件、不安全的廣告或受害者計算機上的軟件漏洞進行傳播。安裝後,它將掃描計算機以查找要加密的特定文件類型,例如文檔、圖像和檔案。加密文件被重命名為一個獨特的擴展名“.SHTORM”,並且兩個名為 info.hta 和 info.txt 的贖金票據留在包含加密文件的每個文件夾中。
SHTORM 勒索軟件發送的贖金票據
贖金票據通常包含有關如何支付贖金的說明,這通常是比特幣或其他加密貨幣所要求的。它還提供了聯繫攻擊者協商贖金費用的方法,在本例中為地址 mjk20@tutanota.com(電子郵件)、@Stop_24(電報)、Tox 信使。
與其他類型的勒索軟件一樣,SHTORM 可能會給企業和個人造成重大破壞和經濟損失。因此,必須採取措施防止感染,例如使軟件保持最新狀態、使用強密碼以及在打開來自未知發件人的電子郵件和附件時保持謹慎。此外,建議定期備份重要文件並將它們保存在安全位置以防勒索軟件攻擊。
感染 SHTORM 勒索軟件後如何應對
如果您的計算機感染了 SHTORM Ransomware,第一步是立即斷開與 Internet 的連接。這將防止感染進一步傳播,並阻止對其他數據進行加密。您還應該在系統上運行反惡意軟件掃描,以檢測可能在攻擊中使用的任何惡意文件。
一旦確定您的系統不再連接到 Internet,請嘗試確定哪些文件被 SHTORM 加密。如果可能,請將這些加密文件備份到外部存儲設備或云存儲服務上,以免在您決定不支付贖金時完全丟失它們。
您永遠不應嘗試支付贖金要求,因為無法保證您會在付款後收到解密密鑰,甚至無法解鎖所有加密文件。相反,請聯繫可以幫助評估情況並提供有關如何最好地進行的建議的安全專家。他們或許能夠在不支付贖金的情況下恢復您的文件。
以下是 SHTORM 勒索軟件向其受害者提供的 info.txt 贖金票據:
'您的所有文件都已加密!
由於您的 PC 存在安全問題,您的所有文件都已加密。如果你想恢復它們,請寫信給我們的電子郵件 mjk20@tutanota.com
將此 ID 寫在您的消息標題中 9ECFA84E-3351
如果您在 24 小時內沒有收到回复,請通過 Telegram.org 帳戶與我們聯繫:@Stop_24
或者給我們寫信給 TOX 信使:0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD
您可以在此處下載 TOX Messenger hxxps://tox.chat/
您必須用比特幣支付解密費用。價格取決於您給我們寫信的速度。付款後,我們將向您發送解密所有文件的工具。
免費解密為保證
在付款之前,您最多可以向我們發送 3 個文件以供免費解密。文件總大小必須小於 4Mb(非存檔),並且文件不應包含有價值的信息。 (數據庫、備份、大型 Excel 工作表等)
如何獲得比特幣
購買比特幣最簡單的方法是 LocalBitcoins 網站。您必須註冊,點擊“購買比特幣”,然後通過付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在此處找到其他購買比特幣和初學者指南的地方:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力!
不要重命名加密文件。
不要嘗試使用第三方軟件解密您的數據,這可能會導致永久性數據丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲(他們向我們收取費用)或者您可能成為騙局的受害者。
info.hta 勒索信息如下:
'!!!您的所有文件都已加密!!!
要解密它們,請發送電子郵件至此地址:mjk20@tutanota.com。
如果我們沒有在 24 小時內回复,請發送消息到電報:@Stop_24
或者給我們寫信給 TOX 信使:0DDF76854C8F9E3287F5EC09E4A3533E416F087BC4F7FEFD330277288F96575DFE950C3168DD'
