FirstKill Ransomware Schijnbaar gemaakt door Poolse Threat Actor
FirstKill is de naam van een nieuw ontdekte ransomware-stam. Het lijkt niet te behoren tot een van de grotere, populaire ransomware-families.
FirstKill versleutelt het systeem van het slachtoffer, waardoor bijna elk bestand erop vervormd blijft. Het coderingsproces is van invloed op vrijwel elk bestand dat niet systeem-essentieel is en omvat uitvoerbare bestanden, document- en archiefbestandstypen.
Eenmaal gecodeerd, krijgen de bestanden de extensie ".FirstKill" die voorbij hun oorspronkelijke wordt toegevoegd. Dit betekent dat een bestand dat oorspronkelijk "document.txt" heette, zal veranderen in "document.txt.FirstKill" zodra het versleuteld is.
De FirstKill ransomware laat zijn losgeldbriefje vallen in een bestand met de naam "CO_SIĘ_STAŁO.html", wat Pools is voor "wat er is gebeurd". Dit houdt sterk in dat de ransomware is geschreven en beheerd door een in Polen gevestigde dreigingsactor.
Er is op dit moment geen decoderingstool bekend voor de FirstKill-ransomware en de enige haalbare optie voor het herstellen van bestanden die erdoor versleuteld zijn, blijft om terug te keren naar back-upkopieën van externe opslag.
