GoTiS-ransomware gebaseerd op Xorist

Ons onderzoeksteam heeft de GoTiS-ransomware ontdekt tijdens een routineonderzoek van nieuwe bestandsinzendingen. Deze kwaadaardige software is aangesloten bij de Xorist-ransomwarefamilie en werkt door gegevens te versleutelen en losgeld te eisen voor de ontsleuteling.

In onze testomgeving versleutelde GoTiS bestanden en voegde een ".GoTiS" extensie toe aan hun bestandsnamen. Een bestand met de naam "1.jpg" werd bijvoorbeeld omgezet in "1.jpg.GoTiS", en "2.png" werd "2.png.GoTiS", enzovoort.

Na voltooiing van het versleutelingsproces genereerde GoTiS identieke losgeldbriefjes die op de bureaubladachtergrond, in een pop-upvenster en in een tekstbestand met de naam "HOW TO DECRYPT FILES.txt" werden weergegeven. Het losgeldbriefje communiceert met het slachtoffer dat hun bestanden nu zijn gecodeerd en dat de decoderingssleutel en software kunnen worden verkregen voor een bedrag van 0,04 BTC (cryptocurrency Bitcoin). Op het moment van schrijven wordt dit losgeld geschat op ongeveer 1400 USD, rekening houdend met het feit dat de wisselkoersen onderhevig zijn aan constante schommelingen. Na de overdracht van Bitcoins wordt het slachtoffer gevraagd contact op te nemen met de aanvallers.

GoTiS-losgeldbrief vereist 0,04 BTC

De volledige tekst van het losgeldbriefje van GoTiS luidt als volgt:

Hello,

All your files have been encrypted.
To decrypt them, you must make a payment of 0.04 bitcoins.

Ensure that you send the 0.04 bitcoins to the following address:
(alphanumeric string)

If you don't own bitcoin, you can easily purchase it from the following sites:

www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

For a more extensive list, please visit:
hxxps://bitcoin.org/en/exchanges

Once the bitcoin has been sent, contact me at either of these email addresses:
gotis1@skiff.com
gotis@onionmail.org
Use this subject: GOTIS004-ID-PCIS05301004
For a good communication experience,
kindly create an account on skiff.com and get in touch with us.

Nadat de betaling is bevestigd, ontvangt u de decryptor en decryptiesleutels.
Daarnaast krijgt u informatie over hoe u zich kunt beschermen tegen toekomstige ransomware-aanvallen, inclusief details over het beveiligingsprobleem waardoor we toegang hebben verkregen.

Hoe kunt u uw gegevens beschermen tegen ransomware-aanvallen?

Het beschermen van uw gegevens tegen ransomware-aanvallen vereist een combinatie van proactieve maatregelen en best practices. Hier volgen enkele essentiële stappen om uw gegevens te beschermen:

Regelmatige back-ups:
Maak regelmatig een back-up van uw belangrijke gegevens. Geautomatiseerde en frequente back-ups zorgen ervoor dat u over recente, onbeschadigde kopieën van uw bestanden beschikt.
Bewaar back-ups op een locatie die niet direct toegankelijk is vanaf uw computer of netwerk. Cloudopslag of offline back-ups worden aanbevolen.

Update software:
Houd uw besturingssysteem, antivirussoftware en alle applicaties up-to-date. Het regelmatig toepassen van beveiligingspatches helpt beschermen tegen bekende kwetsbaarheden.

Beveiligingssoftware:
Installeer gerenommeerde antivirus- en antimalwaresoftware. Zorg ervoor dat het realtime bescherming biedt en werk de virusdefinities regelmatig bij.

E-mailbeveiliging:
Gebruik e-mailfilteroplossingen om verdachte e-mails te blokkeren of in quarantaine te plaatsen. Deze oplossingen kunnen helpen bij het identificeren en voorkomen van phishing-e-mails die mogelijk ransomware bevatten.