Το Gapo Ransomware θα κρυπτογραφήσει τα περισσότερα αρχεία σας

Κατά τη διάρκεια της έρευνάς μας, συναντήσαμε ένα αναγνωρισμένο ransomware γνωστό ως Gapo. Το συγκεκριμένο κακόβουλο λογισμικό χρησιμοποιεί μια τεχνική όπου κρυπτογραφεί αρχεία και τροποποιεί τα ονόματά τους προσθέτοντας την επέκταση ".gapo". Επιπλέον, δημιουργεί μια σημείωση λύτρων με τη μορφή αρχείου με το όνομα "_readme.txt." Η ομάδα μας συνάντησε το Gapo ενώ εξέταζε διαφορετικά νέα δείγματα κακόβουλου λογισμικού.

Για να δείξουμε πώς το Gapo αλλάζει τα ονόματα αρχείων, ας πάρουμε τα παραδείγματα "1.jpg" και "2.png". Αφού το ransomware κάνει τη δουλειά του, αυτά τα αρχεία θα μετατραπούν σε "1.jpg.gapo" και "2.png.gapo", αντίστοιχα. Είναι σημαντικό να σημειωθεί ότι το Gapo ανήκει στην οικογένεια ransomware Djvu. Αυτό το συγκεκριμένο ransomware έχει παρατηρηθεί να διανέμεται από παράγοντες απειλών μαζί με RedLine, Vidar και άλλους κλέφτες πληροφοριών.

Όπως αναφέρεται στο σημείωμα για τα λύτρα, τα θύματα λαμβάνουν οδηγίες να έρθουν σε επαφή με τους εισβολείς χρησιμοποιώντας δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου: support@freshmail.top και datarestorehelp@airmail.cc. Σύμφωνα με το σημείωμα, τα θύματα πρέπει να πληρώσουν είτε $980 είτε $490 για να αποκτήσουν το λογισμικό αποκρυπτογράφησης και το κλειδί. Υπάρχει επίσης μια ειδική προσφορά που αναφέρεται στη σημείωση, η οποία δηλώνει ότι εάν τα θύματα επικοινωνήσουν με τους εισβολείς εντός χρονικού πλαισίου 72 ωρών, μπορούν να αποκτήσουν τα εργαλεία αποκρυπτογράφησης σε μειωμένη τιμή 490 $.

Το σημείωμα Gapo Ransom ζητά 490 $

Το πλήρες κείμενο του ransomware Gapo έχει ως εξής:

ΠΡΟΣΟΧΗ!

Μην ανησυχείτε, μπορείτε να επιστρέψετε όλα τα αρχεία σας!
Όλα τα αρχεία σας, όπως εικόνες, βάσεις δεδομένων, έγγραφα και άλλα σημαντικά είναι κρυπτογραφημένα με την ισχυρότερη κρυπτογράφηση και μοναδικό κλειδί.
Η μόνη μέθοδος ανάκτησης αρχείων είναι να αγοράσετε εργαλείο αποκρυπτογράφησης και μοναδικό κλειδί για εσάς.
Αυτό το λογισμικό θα αποκρυπτογραφήσει όλα τα κρυπτογραφημένα αρχεία σας.
Τι εγγυήσεις έχετε;
Μπορείτε να στείλετε ένα από τα κρυπτογραφημένα αρχεία σας από τον υπολογιστή σας και εμείς το αποκρυπτογραφούμε δωρεάν.
Μπορούμε όμως να αποκρυπτογραφήσουμε μόνο 1 αρχείο δωρεάν. Το αρχείο δεν πρέπει να περιέχει πολύτιμες πληροφορίες.
Μπορείτε να λάβετε και να δείτε το εργαλείο αποκρυπτογράφησης επισκόπησης βίντεο:
hxxps://we.tl/t-sD0OUYo1Pd
Η τιμή του ιδιωτικού κλειδιού και του λογισμικού αποκρυπτογράφησης είναι 980 $.
Έκπτωση 50% διαθέσιμη εάν επικοινωνήσετε μαζί μας τις πρώτες 72 ώρες, η τιμή για εσάς είναι 490 $.
Λάβετε υπόψη ότι δεν θα επαναφέρετε ποτέ τα δεδομένα σας χωρίς πληρωμή.
Ελέγξτε το φάκελο "Ανεπιθύμητα" ή "Ανεπιθύμητα" του email σας εάν δεν λάβετε απάντηση για περισσότερες από 6 ώρες.

Για να αποκτήσετε αυτό το λογισμικό πρέπει να γράψετε στο e-mail μας:
support@freshmail.top

Κρατήστε τη διεύθυνση e-mail για να επικοινωνήσετε μαζί μας:
datarestorehelp@airmail.cc

Η προσωπική σας ταυτότητα:

Πώς μπορεί το Ransomware όπως το Gapo να μολύνει το σύστημά σας;

Το ransomware όπως το Gapo διανέμεται συνήθως στο διαδίκτυο με διάφορες μεθόδους. Ακολουθούν μερικοί συνήθεις τρόποι μέσω των οποίων το ransomware μπορεί να μολύνει το σύστημά σας:

Συνημμένα email: Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για τη διανομή ransomware. Στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα και πειστικά, που περιέχουν κακόβουλα συνημμένα, όπως μολυσμένα έγγραφα Word, αρχεία PDF ή αρχεία ZIP. Μόλις ανοίξει το συνημμένο, το ransomware εκτελείται στο σύστημα.

Κακόβουλοι σύνδεσμοι: Μια άλλη μέθοδος είναι μέσω κακόβουλων συνδέσμων που είναι ενσωματωμένοι σε μηνύματα ηλεκτρονικού ταχυδρομείου, άμεσα μηνύματα ή αναρτήσεις μέσων κοινωνικής δικτύωσης. Κάνοντας κλικ σε τέτοιους συνδέσμους ανακατευθύνονται οι χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης, τα οποία στη συνέχεια εκμεταλλεύονται ευπάθειες στο λογισμικό του συστήματος για να παραδώσουν το ωφέλιμο φορτίο ransomware.

Λήψεις Drive-by: Το Ransomware μπορεί επίσης να διανεμηθεί μέσω παραβιασμένων ή κακόβουλων τοποθεσιών. Λήψεις Drive-by πραγματοποιούνται όταν οι χρήστες επισκέπτονται τέτοιους ιστότοπους και το ransomware κατεβάζεται σιωπηλά και εγκαθίσταται στα συστήματά τους χωρίς τη γνώση ή τη συγκατάθεσή τους.

Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να αξιοποιήσουν κακόβουλες διαφημίσεις (κακόφημες διαφημίσεις) σε νόμιμους ιστότοπους. Αυτές οι διαφημίσεις περιέχουν κρυμμένο κακόβουλο κώδικα που, όταν γίνεται κλικ ή προβάλλεται, ανακατευθύνει τους χρήστες σε ιστότοπους που φιλοξενούν ransomware ή εκκινεί τις αυτόματες λήψεις.

Εκμετάλλευση ευπάθειας λογισμικού: Το Ransomware μπορεί να εκμεταλλευτεί ευπάθειες ασφαλείας που υπάρχουν σε απαρχαιωμένο λογισμικό ή λειτουργικά συστήματα. Οι εισβολείς αναζητούν ενεργά τρωτά σημεία και αναπτύσσουν εκμεταλλεύσεις για την παράδοση ωφέλιμων φορτίων ransomware μέσω αυτών των κενών ασφαλείας.