Hva er KUZA Ransomware?

KUZA Ransomware representerer en farlig variant av Proton-ransomware, et ondsinnet program utviklet for å kryptere filer på et offers system og kreve betaling for deres utgivelse. Når en enhet infiseres, krypterer KUZA filer og legger til filnavnene deres med angripernes e-postadresse sammen med en ".Ripa"-utvidelse, noe som effektivt gjør dem utilgjengelige. For eksempel vil en fil opprinnelig merket "1.jpg" nå vises som "1.jpg.[amir206amiri2065sa@gmail.com].Ripa". I tillegg endrer KUZA skrivebordsbakgrunnen og slipper en løsepenge med navnet "#Read-for-recovery.txt", som gir instruksjoner for offeret.

Løseseddelen levert av KUZA informerer offeret om at filene deres har gjennomgått kryptering ved hjelp av avanserte kryptografiske algoritmer, AES og ECC. Interessant nok, i motsetning til mange løsepengevarestammer, truer KUZA ikke eksplisitt med å lekke sensitive data hvis løsepengekravene ikke blir oppfylt. I stedet instruerer den offeret om å betale løsepenger for dekrypteringsprogramvare og lover sletting av stjålne filer. Notatet lar offeret teste dekryptering ved å sende en enkelt låst fil til nettkriminelle. Den advarer imidlertid mot å utsette betalingen, noe som kan resultere i et økt løsepengebeløp, og fraråder å endre eller slette krypterte filer eller søke hjelp fra tredjeparter.

KUZA Ransomware-notatet lyder som følgende:

~~~ KUZA ~~~
>>> What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

>>> How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
Our email address: amir206amiri2065sa@gmail.com
In case of no answer within 24 hours, contact to this email: amir206amiri2065sa@tutamail.com
Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
- Do not hesitate for a long time. The faster you pay, the lower the price.
- Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Erfaring med å undersøke ransomware-infeksjoner tyder på at dekryptering uten angripernes involvering vanligvis er umulig. Selv om ofrene etterkommer løsepengekravene, er det ingen garanti for at de vil motta de nødvendige nøklene eller programvaren for dekryptering. Følgelig anbefales det på det sterkeste å ikke etterkomme nettkriminelles krav, siden det opprettholder deres ulovlige aktiviteter og ikke sikrer filgjenoppretting. Fjerning av KUZA-ransomware fra systemet kan forhindre ytterligere datakryptering, men det vil ikke gjenopprette allerede berørte filer. Den eneste pålitelige løsningen er å gjenopprette filer fra en sikkerhetskopi, og understreker viktigheten av å opprettholde sikkerhetskopier på flere sikre steder.

Ransomware, inkludert KUZA, spres først og fremst gjennom phishing og sosial ingeniør-taktikk, som ondsinnede vedlegg eller lenker i spam-e-poster, villedende nedlastinger, malvertising og falske oppdateringer. I tillegg kan noen løsepengevarevarianter spre seg selv gjennom lokale nettverk og flyttbare lagringsenheter. For å beskytte mot ransomware-infeksjoner, er det avgjørende å laste ned programvare fra offisielle kilder, være årvåken mens du surfer, utvise forsiktighet med e-postvedlegg og lenker, og vedlikeholde oppdatert antivirusprogramvare for regelmessige systemskanninger og trusselfjerning.