Το Nzqw Ransomware κρυπτογραφεί τα αρχεία των θυμάτων

Κατά την ανάλυση δειγμάτων κακόβουλου λογισμικού, η ομάδα μας συνάντησε το Nzqw ransomware, το οποίο είναι μέλος της οικογένειας κακόβουλου λογισμικού Djvu. Όταν θέτει σε κίνδυνο έναν υπολογιστή, το Nzqw κρυπτογραφεί μια ποικιλία αρχείων και προσαρτά την επέκταση ".nzqw" στα αρχικά ονόματα αρχείων τους. Για παράδειγμα, ένα αρχείο που ονομαζόταν προηγουμένως "1.jpg" θα άλλαζε σε "1.jpg.nzqw", και το "2.png" θα άλλαζε σε "2.png.nzqw" και ούτω καθεξής.

Εκτός από την κρυπτογράφηση αρχείων, το Nzqw δημιουργεί επίσης μια σημείωση λύτρων που βρίσκεται ως αρχείο κειμένου με το όνομα "_readme.txt". Επιπλέον, η διανομή του Nzqw μπορεί να περιλαμβάνει συνεργασία με άλλα κακόβουλα προγράμματα όπως το Vidar και το RedLine, τα οποία επικεντρώνονται στην κλοπή πληροφοριών. Το σημείωμα λύτρων που περιέχεται στο αρχείο "_readme.txt" υπογραμμίζει ότι η διαδικασία αποκρυπτογράφησης βασίζεται σε εξειδικευμένο λογισμικό αποκρυπτογράφησης και σε ένα μοναδικό κλειδί. Οι παραλήπτες αυτής της σημείωσης καλούνται να έρθουν σε επαφή με τους εισβολείς μέσω των παρεχόμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου (support@freshmail.top ή datarestorehelp@airmail.cc) για να λάβουν πρόσθετες οδηγίες.

Επιπλέον, το σημείωμα λύτρων παρουσιάζει δύο διαφορετικά ποσά, συγκεκριμένα 980 $ και 490 $, υπονοώντας ότι τα θύματα ενδέχεται να μπορούν να αποκτήσουν τα εργαλεία αποκρυπτογράφησης σε μειωμένη τιμή, εάν έρθουν σε επαφή με τους εισβολείς μέσα σε ένα παράθυρο 72 ωρών.

Το Nzqw Ransom Note απαιτεί 980 $ σε Ransom

Το πλήρες κείμενο του σημειώματος λύτρων Nzqw έχει ως εξής:

ΠΡΟΣΟΧΗ!

Μην ανησυχείτε, μπορείτε να επιστρέψετε όλα τα αρχεία σας!
Όλα τα αρχεία σας, όπως εικόνες, βάσεις δεδομένων, έγγραφα και άλλα σημαντικά είναι κρυπτογραφημένα με την ισχυρότερη κρυπτογράφηση και μοναδικό κλειδί.
Η μόνη μέθοδος ανάκτησης αρχείων είναι να αγοράσετε εργαλείο αποκρυπτογράφησης και μοναδικό κλειδί για εσάς.
Αυτό το λογισμικό θα αποκρυπτογραφήσει όλα τα κρυπτογραφημένα αρχεία σας.
Τι εγγυήσεις έχετε;
Μπορείτε να στείλετε ένα από τα κρυπτογραφημένα αρχεία σας από τον υπολογιστή σας και εμείς το αποκρυπτογραφούμε δωρεάν.
Μπορούμε όμως να αποκρυπτογραφήσουμε μόνο 1 αρχείο δωρεάν. Το αρχείο δεν πρέπει να περιέχει πολύτιμες πληροφορίες.
Μπορείτε να λάβετε και να δείτε το εργαλείο αποκρυπτογράφησης επισκόπησης βίντεο:
hxxps://we.tl/t-E4b0Td2MBH
Η τιμή του ιδιωτικού κλειδιού και του λογισμικού αποκρυπτογράφησης είναι 980 $.
Έκπτωση 50% διαθέσιμη εάν επικοινωνήσετε μαζί μας τις πρώτες 72 ώρες, η τιμή για εσάς είναι 490 $.
Λάβετε υπόψη ότι δεν θα επαναφέρετε ποτέ τα δεδομένα σας χωρίς πληρωμή.
Ελέγξτε το φάκελο "Ανεπιθύμητα" ή "Ανεπιθύμητα" του email σας εάν δεν λάβετε απάντηση για περισσότερες από 6 ώρες.

Για να αποκτήσετε αυτό το λογισμικό πρέπει να γράψετε στο e-mail μας:
support@freshmail.top

Κρατήστε τη διεύθυνση e-mail για να επικοινωνήσετε μαζί μας:
datarestorehelp@airmail.cc

Η προσωπική σας ταυτότητα:

Πώς μπορεί το Ransomware να μολύνει το σύστημά σας;

Το Ransomware μπορεί να μολύνει το σύστημά σας μέσω διαφόρων μεθόδων, εκμεταλλευόμενοι συχνά τρωτά σημεία ή ανθρώπινες ενέργειες. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να μολύνει ένα σύστημα:

• Συνημμένα ηλεκτρονικού ταχυδρομείου: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να στέλνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν μολυσμένα συνημμένα. Όταν οι χρήστες ανοίγουν αυτά τα συνημμένα, το ransomware εκτελείται και ξεκινά την κρυπτογράφηση αρχείων στο σύστημα.
• Σύνδεσμοι ηλεκτρονικού ψαρέματος: Το Ransomware μπορεί να παραδοθεί μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος με συνδέσμους σε κακόβουλους ιστότοπους. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση του ransomware.
• Κακόβουλες λήψεις: Η λήψη αρχείων ή λογισμικού από αναξιόπιστες πηγές, όπως κατεστραμμένο λογισμικό ή ανεπίσημους ιστότοπους, μπορεί να εισαγάγει ransomware στο σύστημά σας.
• Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης στοχεύουν τρωτά σημεία σε εφαρμογές λογισμικού ή λειτουργικά συστήματα. Εάν το σύστημά σας δεν είναι ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας, το ransomware μπορεί να παραδοθεί μέσω αυτών των τρωτών σημείων.
• Κακόβουλη διαφήμιση: Οι κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις μπορεί να περιέχουν κώδικα που ενεργοποιεί λήψεις ransomware όταν γίνεται κλικ. Αυτές οι διαφημίσεις μπορούν να εμφανίζονται σε νόμιμους ιστότοπους.
• Λήψεις Drive-by: Η επίσκεψη σε παραβιασμένους ιστότοπους μπορεί να οδηγήσει σε "drive-by" λήψεις, όπου ο κακόβουλος κώδικας γίνεται αθόρυβα λήψη και εκτέλεση στο σύστημά σας.
• Δίσκοι USB και εξωτερικές συσκευές: Οι μολυσμένες εξωτερικές συσκευές όπως οι μονάδες USB μπορούν να διαδώσουν ransomware εάν συνδεθούν στο σύστημά σας. Οι λειτουργίες αυτόματης εκτέλεσης σε αυτές τις συσκευές μπορούν να εκτελέσουν το ransomware κατά τη σύνδεση.
• Κακόβουλες μακροεντολές: Το Ransomware μπορεί να ενσωματωθεί σε έγγραφα που περιέχουν κακόβουλες μακροεντολές. Όταν οι χρήστες ενεργοποιούν τις μακροεντολές, το ransomware εκτελείται.