Hvad er KoRyA Ransomware?

KoRyA er en type ransomware, der tilhører Xorist-familien. Det blev opdaget af malware-forskere, mens de undersøgte prøver indsendt til online trusselsdatabaser. KoRyA krypterer data og tilføjer filtypenavnet ".KoRyA" til filnavne, ændrer skrivebordsbaggrunden, opretter en tekstfil med titlen "HVORDAN DEKRRYTERER DU FILES.txt", og viser en fejlmeddelelse.

Løsesedlen i tapetet, tekstfilen og fejlmeddelelsen angiver alle, at ofrene skal betale 0,06 BTC (Bitcoin cryptocurrency) til den angivne tegnebogsadresse og derefter sende en e-mail til korya@tuta.io for dekrypteringsværktøjer. Ofre har to dage til at betale, før deres dekrypteringsnøgler slettes.

Når KoRyA er aktiv på et system, vil det ændre filnavne ved at tilføje filtypenavnet ".KoRyA" i slutningen af hvert enkelt; f.eks. ville "1.jpg" blive til "1.jpg.KoRyA", "2.png" ville blive til "2.png.KoRyA" og så videre. Desuden vil det ændre skrivebordsbaggrunden med en løsesum, der kræver betaling på 0,06 BTC for at modtage dekrypteringsværktøjer fra korya@tuta .io.

Den fulde løsesumseddel, der vises af KoRyA, lyder som følger:

OPMÆRKSOMHED!

Alle dine filer er blevet krypteret

Og deres dekryptering vil koste dig 0,06 bitcoin.

Følg nedenstående trin for at starte dekrypteringsprocessen

Trin 1) Sørg for at sende 0,06 bitcoin til denne pung:

bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c

Trin 2) Kontakt mig på denne e-mailadresse: korya@tuta.io

Med dette emne: -

Efter at betalingen er bekræftet,

du vil modtage dekrypteringen og nøglerne til dekryptering!

Andre oplysninger:

Hvis du ikke ejer bitcoin, kan du nemt købe det her

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

Du kan finde en større liste her:

hxxps://bitcoin.org/en/exchanges

Hvis betalingen ikke er foretaget inden for 2 dage, vil jeg overveje, at du ikke ønsker at dekryptere dine filer,

og derfor vil nøglerne, der er genereret til din pc, blive slettet permanent.

At betale ransomware-aktører er ikke en god idé af flere grunde. For det første er der ingen garanti for, at angriberne rent faktisk leverer dekrypteringsværktøjerne efter betaling. Selvom de gør det, er der ingen garanti for, at værktøjerne fungerer som lovet. Ydermere opmuntrer betaling af løsesum kun angriberne til at fortsætte deres ondsindede aktiviteter og angribe flere ofre i fremtiden.

Derudover sender det en besked til andre cyberkriminelle om, at ransomware-angreb er rentable og kan bruges som en effektiv måde at tjene penge på. Endelig kan det også være ulovligt at betale en løsesum, afhængigt af hvor du bor, eller hvor angriberne befinder sig. Af disse grunde er det bedst at undgå at betale ransomware-aktører og i stedet fokusere på at forhindre sådanne angreb i at forekomme i første omgang ved at træffe passende sikkerhedsforanstaltninger.