Wat is de KoRyA-ransomware?
KoRyA is een type ransomware dat behoort tot de Xorist-familie. Het werd ontdekt door malware-onderzoekers tijdens het onderzoeken van monsters die waren ingediend bij online bedreigingsdatabases. KoRyA versleutelt gegevens en voegt de extensie ".KoRyA" toe aan bestandsnamen, verandert de bureaubladachtergrond, maakt een tekstbestand met de titel "HOW TO DECRYPT FILES.txt" en geeft een foutmelding weer.
In de losgeldnota in de achtergrond, het tekstbestand en de foutmelding staat allemaal dat slachtoffers 0,06 BTC (Bitcoin cryptocurrency) moeten betalen aan het opgegeven portemonnee-adres en vervolgens een e-mail moeten sturen naar korya@tuta.io voor decoderingstools. Slachtoffers hebben twee dagen de tijd om te betalen voordat hun decoderingssleutels worden verwijderd.
Wanneer KoRyA actief is op een systeem, zal het bestandsnamen wijzigen door de extensie ".KoRyA" toe te voegen aan het einde van elke bestandsnaam; "1.jpg" wordt bijvoorbeeld "1.jpg.KoRyA", "2.png" wordt "2.png.KoRyA", enzovoort. Bovendien zal het de bureaubladachtergrond veranderen met een losgeldbrief waarin betaling van 0,06 BTC wordt geëist om decoderingstools van korya@tuta .io te ontvangen.
De volledige losgeldbrief weergegeven door KoRyA luidt als volgt:
AANDACHT!
Al uw bestanden zijn versleuteld
En hun decodering kost je 0,06 bitcoin.
Volg de onderstaande stappen om het decoderingsproces te starten
Stap 1) Zorg ervoor dat je 0,06 bitcoin naar deze wallet stuurt:
bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c
Stap 2) Neem contact met mij op via dit e-mailadres: korya@tuta.io
Met dit onderwerp: -
Nadat de betaling is bevestigd,
u ontvangt de decryptor en de sleutels voor decryptie!
Andere informatie:
Als u geen bitcoin bezit, kunt u deze hier heel gemakkelijk kopen
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com
Een grotere lijst vind je hier:
hxxps://bitcoin.org/en/exchanges
Als de betaling niet binnen 2 dagen wordt gedaan, zal ik overwegen dat u uw bestanden niet wilt decoderen,
en daarom worden de voor uw pc gegenereerde sleutels permanent verwijderd.
Het betalen van ransomware-acteurs is om verschillende redenen geen goed idee. Ten eerste is er geen garantie dat de aanvallers na betaling daadwerkelijk de decoderingstools zullen leveren. Zelfs als ze dat doen, is er geen garantie dat de tools zullen werken zoals beloofd. Bovendien moedigt het betalen van het losgeld de aanvallers alleen maar aan om hun kwaadaardige activiteiten voort te zetten en in de toekomst meer slachtoffers aan te vallen.
Bovendien stuurt het een bericht naar andere cybercriminelen dat ransomware-aanvallen winstgevend zijn en kunnen worden gebruikt als een effectieve manier om geld te verdienen. Ten slotte kan het betalen van losgeld ook illegaal zijn, afhankelijk van waar u woont of waar de aanvallers zich bevinden. Om deze redenen is het het beste om ransomware-actoren niet te betalen en in plaats daarvan te focussen op het voorkomen van dergelijke aanvallen in de eerste plaats door passende beveiligingsmaatregelen te nemen.
