Hva er G-STARS Ransomware?

G-STARS Ransomware, også kjent som Phobos, er et ondsinnet program som faller inn under kategorien løsepengevare. Denne typen skadelig programvare er utviklet for å kryptere data på offerets system og deretter kreve betaling fra offeret i bytte mot dekrypteringsnøkkelen.

I ulike undersøkelser utført av datasikkerhetseksperter, kom de over G-STARS (Phobos) løsepengevare mens de analyserte nye bidrag på VirusTotal-siden. Når denne løsepengevaren infiserer en maskin, krypterer den filer og endrer navnene deres. De originale filnavnene er vedlagt en unik ID, e-postadressen til nettkriminelle og utvidelsen ".G-STARS". For eksempel vil en fil som opprinnelig heter "1.jpg" vises som "1.jpg.id[9ECFA84E-3442].[ support.antimalware@onionmail.com ].G-STARS". Løsepengevaren lager deretter løsepenger i både en tekstfil ("info.txt") og et popup-vindu ("into.hta").

G-STARS løsepengenotat

Løsepengene som er lagt igjen av G-STARS (Phobos) gir lignende informasjon. De informerer offeret om at filene deres er kryptert og ber dem kontakte angriperne ved hjelp av flere kommunikasjonsmetoder. I tillegg hevder notatene at sensitiv informasjon fra det kompromitterte nettverket, som ansatt- og klientdata, økonomiske detaljer og produksjonsdokumenter, har blitt eksfiltrert. Angriperne truer med å øke løsepengene og lekke det stjålne innholdet hvis offeret utsetter å kontakte dem. De advarer også mot å gi nytt navn til de krypterte filene eller bruke gjenopprettingsverktøy fra tredjeparter, da det kan gjøre dataene ukrypterte.

Notatet lyder som følger:

Hallo min kjære venn. Alle filene dine er kryptert!

Dessverre for deg har en stor IT-sikkerhetssvakhet gjort deg åpen for angrep, filene dine har blitt kryptert. Den eneste metoden for å gjenopprette filer er å kjøpe dekrypteringsverktøy og unik nøkkel for deg.
Hvis du ønsker å gjenopprette filene dine, skriv oss til denne e-posten: support.antimalware@onionmail.com Hvis du ikke får svar innen 24 timer, skriv til denne e-posten: support.antimalware@msgden.com
Vår nettoperatør er tilgjengelig i messenger-telegrammet: @Files_decrypt eller hxxps://t.me/Files_decrypt
Hvis det ikke er noe svar fra e-posten vår, kan du installere ICQ-programvare på din PC her hxxps://icq.com/windows/ eller på smarttelefon fra Appstore / Google Play Market søk etter "ICQ"
Skriv til vår ICQ @Ransomware_Decrypt hxxps://icq.im/Ransomware_Decrypt/ Eller last ned (Session) messengeren (hxxps://getsession.org) i messenger: 0569a7c0949434c9c4464cf2423f66d046d045e4016cd34186d3e34166d3e34166d046e34166d3e34166d3e34166d3e34166d3e34168d 13
Du må legge til denne ID-en - så fullfører vi konverteringen vår.
Eller last ned Tox Chat (hxxps://tox.chat/download.html') i messenger: C20A4B4AC30BBF70E7F2340FC0F97B08FA58B6E041557ABBF29EAF82FED0C47D79239FA26B59 Du må legge til oss og skrive denne ID 34E til oss.

Vær oppmerksom på at du aldri vil gjenopprette dataene dine uten betaling. Sjekk e-posten "Spam" eller "Junk"-mappen hvis du ikke får svar mer enn 6 timer.
Kontakt oss snart, for de som ikke har dataene sine lekket i vår pressemeldingsblogg og prisen de må betale vil gå betraktelig opp.

Dine data
Sensitive data på systemet ditt ble NEDLASTET.
Hvis du IKKE VIL at dine sensitive data skal publiseres, må du handle raskt.

Data inkluderer:
Ansattes personopplysninger, CVer, DL, SSN.
Komplett nettverkskart inkludert legitimasjon for lokale og eksterne tjenester.
Privat finansiell informasjon inkludert: kundedata, regninger, budsjetter, årsrapporter, kontoutskrifter.
Produksjonsdokumenter inkludert: datagrammer, skjemaer, tegninger i solidworks-format
Og mer...

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Vi er alltid klare til å samarbeide og finne den beste måten å løse problemet på.
Jo raskere du skriver - jo gunstigere vil forholdene være for deg.
Vårt firma verdsetter sitt rykte. Vi gir alle garantier for dekryptering av filene dine.

Basert på omfattende forskning på løsepengevare, er det generelt vanskelig å dekryptere filer uten angripernes hjelp. Selv om løsepengene er betalt, kan det hende at ofrene ikke mottar dekrypteringsnøklene eller verktøyene, noe som gjør datagjenoppretting usikker. Å betale løsepenger støtter også ulovlige aktiviteter, så det anbefales ikke.

Forebygging og fjerning av G-STARS Ransomware

For å forhindre ytterligere kryptering av løsepengevare fra G-STARS (Phobos), er det viktig å eliminere det fra operativsystemet. Fjerning vil imidlertid ikke gjenopprette filer som allerede er kompromittert. Den eneste pålitelige løsningen er å gjenopprette dataene fra en sikkerhetskopi hvis en ble opprettet på forhånd og lagret et annet sted. Det er sterkt tilrådelig å vedlikeholde sikkerhetskopier på flere steder, for eksempel eksterne servere og frakoblede lagringsenheter, for å sikre datasikkerhet.

Ransomware, inkludert G-STARS (Phobos), distribueres ofte gjennom phishing og sosial ingeniør-taktikk. Vanlige metoder inkluderer drive-by-nedlastinger, ondsinnede vedlegg og lenker i spam-e-poster, nettsvindel, malvertising, tvilsomme nedlastingskilder, ulovlige programaktiveringsverktøy og falske oppdateringer. Noen løsepengeprogrammer kan også spre seg selv via lokale nettverk og flyttbare lagringsenheter.

Disse ondsinnede programmene kan være forkledd som vanlige filer, for eksempel kjørbare filer, arkiver, dokumenter, JavaScript og mer. Når en virulent fil er åpnet, startes infeksjonskjeden, noe som fører til nedlasting og installasjon av løsepengevaren på offerets system.

Avslutningsvis er G-STARS Ransomware, eller Phobos, en farlig trussel som krypterer filer og krever løsepenger for dekryptering. Det er avgjørende å ta forebyggende tiltak som å holde sikkerhetskopier på flere steder og være forsiktig mens du samhandler med e-poster, nedlastinger og nettsteder for å unngå å bli offer for slik skadelig programvare.