GhostLocker Ransomware vil kryptere ofrenes filer
GhostLocker repræsenterer et ransomware-program skabt af den cyberkriminelle gruppe GhostSec. Denne type malware, kategoriseret som ransomware, er udviklet til at kryptere data og kræve betaling for dets dekryptering.
I vores testmiljø krypterede GhostLocker filer og tilføjede en ".ghost"-udvidelse til deres navne. For eksempel ville en original fil med navnet "1.jpg" forvandles til "1.jpg.ghost", mens "2.png" ville blive "2.png.ghost", og dette mønster blev anvendt på alle berørte filer.
Efter afslutningen af krypteringsprocessen blev en løsesumseddel, typisk med titlen "lmao.html," deponeret. Det er værd at bemærke, at navnet på HTML-dokumentet kan variere.
GhostLockers besked informerer offeret om, at deres filer er blevet krypteret ved hjælp af RSA-2048 og AES-12 kryptografiske algoritmer, og følsomme data er blevet taget.
For at dekryptere filerne skal der betales løsesum. Offeret får en frist på 48 timer til at kontakte angriberne, og manglende overholdelse af denne frist vil resultere i et øget løsesumbeløb. Afvisning af at efterkomme de cyberkriminelles krav vil føre til dataødelæggelse.
Notatet advarer mod at omdøbe de krypterede filer eller bruge tredjepartsgendannelsesværktøjer, da det kan forårsage permanent datatab. Offeret advares også om, at det vil resultere i tab af data og afsløring af stjålet indhold at søge hjælp fra tredjeparter eller myndigheder.
GhostLocker Ransom Note Forsøg på at lyde smart
Den fulde tekst af løsesumsedlen, der er genereret i "lmao.html"-filen, lyder som følger:
GhostLocker
Vi løber s**t, fordi vi kanALLE DINE VIGTIGE FILER ER STJULET OG KRYPTET
DIT PERSONLIGE KRYPTINGS-ID: - (GEM DETTE)Alle dine vigtige filer er blevet stjålet og krypteret med RSA-2048- og AES-128-cifre af militærkvalitet. Det betyder, at uanset hvor meget du skulle prøve, er den eneste måde at få dine filer tilbage på at arbejde med os og følge vores krav.
Du har 48 timer (2 dage) til at kontakte os. Hvis du ikke gør en indsats for at kontakte os inden for denne tidsramme, vil løsesummen stige.
Hvis du ikke betaler løsesummen, vil dine filer blive ødelagt for altid.
Du kan kontakte os på følgende
Opmærksomhed
Betal IKKE løsesummen til andre end de øverste kontaktoplysninger nævnt deroppe.
Omdøb IKKE de krypterede filer
Forsøg IKKE at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab
Enhver involvering af retshåndhævelses-/datagendannelsesteams/tredjepartssikkerhedsleverandører vil føre til permanent tab af data og en offentlig dataudgivelse med det samme
Hvordan kan ransomware infiltrere dit system?
Ransomware kan infiltrere dit system gennem forskellige metoder, og forståelsen af disse indgangspunkter er afgørende for at forhindre sådanne angreb. Her er nogle almindelige måder, hvorpå ransomware kan få adgang til dit system:
- Phishing-e-mails: Den mest almindelige metode er gennem phishing-e-mails. Du modtager muligvis en e-mail, der ser ud til at være fra en legitim kilde, men den indeholder ondsindede vedhæftede filer eller links. Åbning af disse vedhæftede filer eller klik på disse links kan udløse download og eksekvering af ransomware på din computer.
- Ondsindede websteder: Besøg af ondsindede eller kompromitterede websteder kan udsætte dit system for ransomware. Disse websteder kan udnytte sårbarheder i din webbrowser eller plugins til at downloade og udføre ransomwaren.
- Malvertising: Online annoncer kan bruges til at distribuere ransomware. Cyberkriminelle kan placere ondsindede annoncer på legitime websteder, og hvis du klikker på dem, kan du utilsigtet downloade ransomware.
- Drive-By-downloads: Nogle websteder er designet til automatisk at downloade filer til din computer uden dit samtykke. Disse drive-by-downloads kan installere ransomware, hvis dit system ikke er ordentligt beskyttet.
- Softwaresårbarheder: Forældet eller ikke-patchet software kan have sikkerhedssårbarheder, som ransomware kan udnytte. Det er afgørende at holde dit operativsystem, applikationer og sikkerhedssoftware opdateret.
- Remote Desktop Protocol (RDP)-angreb: Cyberkriminelle kan udnytte svage eller standard RDP-legitimationsoplysninger til at få fjernadgang til din computer. Når de først er inde, kan de implementere ransomware.
- Ondsindede vedhæftede filer: Ransomware kan leveres gennem ondsindede vedhæftede filer, såsom inficerede Microsoft Office-dokumenter eller eksekverbare filer. Disse vedhæftede filer kan udnytte softwaresårbarheder eller narre dig til at køre dem.