Nominatus Ransomware

Nominatus ransomware er en ny stamme af filkrypterende malware, som er blevet opdaget af sikkerhedsforskere. Ransomwaren tilhører ikke nogen specifik større ransomware-familie.

Nominatus gør også én ting meget anderledes end langt de fleste andre stammer af ransomware. Når først den krypterer en fil, ændrer Nominatus ikke filen på nogen observerbar måde. Der tilføjes ingen ny udvidelse, og den oprindelige udvidelse ændres ikke. Hvis et offer for Nominatus havde en fil kaldet "picnic.jpg", når ransomwaren krypterer den, vil filen stadig blive vist som "picnic.jpg" for offeret, og de vil først indse, at den er blevet krypteret, hvis de forsøger at åbne det.

Dette er en mærkelig særhed ved Nominatus, da stort set alle andre ransomware-typer ændrer eller tilføjer udvidelser. En anden ting, der adskiller Nominatus fra andre ransomware-stammer, er dens meget korte løsesumseddel. Noten er lagt i en fil kaldet "NominatusRansomware2Message.txt".

Den fulde tekst af noten er som følger:

Filer er blevet krypteret med Nominatus Ransomware 2 Kontakt skaberen af denne ransomware on discord Nominatus#1297 on discord eller kontakt hans e-mail Bkhtyaryrwzbh på gmail dot com for mere information

Det faktum, at ransomware-forfatteren ikke har oprettet en e-mail-konto med en stærkt krypteret tjeneste, der kan hjælpe med at dække hans spor bedre, er mærkeligt. Direkte at give håndtaget til en aktiv Discord-konto for kontakt er også meget usædvanligt, da Discord-konti relativt nemt kan spores af retshåndhævelse, hvis der opdages kriminel aktivitet.

Ransomwaren fremstår halvdannet og stadig under udvikling. Løsesedlen stiller ingen specifikke krav om løsesum og nævner aldrig det beløb, hackeren forventer at modtage fra ofrene. Det er klart, at det ikke er en god idé at kontakte trusselsaktøren bag løsesumwaren eller forhandle og betale løsesummen.

May 13, 2022