Co to jest ransomware G-STARS?

G-STARS Ransomware, znany również jako Phobos, to złośliwy program należący do kategorii ransomware. Ten rodzaj złośliwego oprogramowania jest przeznaczony do szyfrowania danych w systemie ofiary, a następnie żądania zapłaty od ofiary w zamian za klucz odszyfrowywania.

Podczas różnych badań ekspertów ds. bezpieczeństwa komputerowego natknęli się na ransomware G-STARS (Phobos) podczas analizy nowych zgłoszeń na stronie VirusTotal. Kiedy to ransomware infekuje komputer, szyfruje pliki i zmienia ich nazwy. Oryginalne nazwy plików są opatrzone unikalnym identyfikatorem, adresem e-mail cyberprzestępców i rozszerzeniem ".G-STARS". Na przykład plik początkowo nazwany „1.jpg” będzie wyświetlany jako „1.jpg.id[9ECFA84E-3442].[ support.antimalware@onionmail.com ].G-STARS”. Następnie ransomware tworzy notatki z żądaniem okupu zarówno w pliku tekstowym ("info.txt"), jak i oknie pop-up ("into.hta").

Żądanie okupu G-STARS Ransomware

Żądanie okupu pozostawione przez G-STARS (Phobos) zawiera podobne informacje. Informują ofiarę, że jej pliki zostały zaszyfrowane i instruują ją, aby skontaktowała się z atakującymi za pomocą wielu metod komunikacji. Ponadto notatki twierdzą, że z zaatakowanej sieci zostały wydobyte poufne informacje, takie jak dane pracowników i klientów, dane finansowe i dokumenty produkcyjne. Napastnicy grożą zwiększeniem okupu i ujawnieniem skradzionych treści, jeśli ofiara zwleka z skontaktowaniem się z nimi. Ostrzegają również przed zmienianiem nazw zaszyfrowanych plików lub używaniem narzędzi odzyskiwania innych firm, ponieważ może to uniemożliwić odszyfrowanie danych.

Notatka brzmi następująco:

Witaj mój drogi przyjacielu. Wszystkie twoje pliki zostały zaszyfrowane!

Na nieszczęście dla Ciebie poważna luka w zabezpieczeniach IT naraziła Cię na atak, Twoje pliki zostały zaszyfrowane. Jedyną metodą odzyskania plików jest zakup narzędzia deszyfrującego i unikalnego klucza.
Jeśli chcesz odzyskać swoje pliki, napisz do nas na ten e-mail: support.antimalware@onionmail.com W przypadku braku odpowiedzi w ciągu 24 godzin napisz do nas na ten e-mail: support.antimalware@msgden.com
Nasz internetowy operator jest dostępny w komunikatorze Telegram: @Files_decrypt lub hxxps://t.me/Files_decrypt
Jeśli nie ma odpowiedzi z naszej poczty, możesz zainstalować oprogramowanie ICQ na swoim komputerze tutaj hxxps://icq.com/windows/ lub na smartfonie z Appstore / Google Play Market wyszukaj „ICQ”
Napisz do naszego ICQ @Ransomware_Decrypt hxxps://icq.im/Ransomware_Decrypt/ Lub pobierz komunikator (sesyjny) (hxxps://getsession.org) w komunikatorze: 0569a7c0949434c9c4464cf2423f66d046e3e08654e4164404b1dc23783096d313
Musisz dodać ten identyfikator - a my dokończymy naszą konwersję.
Lub pobierz Tox Chat (hxxps://tox.chat/download.html') w komunikatorze: C20A4B4AC30BBF70E7F2340FC0F97B08FA58B6E041557ABBF29EAF82FED0C47D79239FA26B51 Musisz dodać ten identyfikator 9ECFA84E-3442i napisać do nas.

Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty. Sprawdź swój e-mail w folderze "Spam" lub "śmieci", jeśli nie otrzymasz odpowiedzi dłużej niż 6 godzin.
Skontaktuj się z nami szybko, ponieważ ci, których dane nie wyciekły na naszym blogu z komunikatami prasowymi, a cena, którą będą musieli zapłacić, znacznie wzrosną.

Twoje dane
Wrażliwe dane w twoim systemie zostały POBRANE.
Jeśli NIE CHCESZ PUBLIKOWAĆ swoich wrażliwych danych, musisz działać szybko.

Dane obejmują:
Dane osobowe pracowników, CV, DL, SSN.
Kompletna mapa sieci, w tym poświadczenia dla usług lokalnych i zdalnych.
Prywatne informacje finansowe, w tym: dane klientów, rachunki, budżety, raporty roczne, wyciągi bankowe.
Dokumenty produkcyjne w tym: datagramy, schematy, rysunki w formacie SolidWorks
I więcej...

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Zawsze jesteśmy gotowi do współpracy i znalezienia najlepszego sposobu rozwiązania Twojego problemu.
Im szybciej napiszesz - tym korzystniejsze warunki będą dla Ciebie.
Nasza firma ceni swoją reputację. Dajemy wszelkie gwarancje odszyfrowania Twoich plików.

Na podstawie szeroko zakrojonych badań nad oprogramowaniem ransomware odszyfrowanie plików bez pomocy atakujących jest ogólnie trudne. Nawet jeśli okup zostanie zapłacony, ofiary mogą nie otrzymać kluczy lub narzędzi do odszyfrowania, co sprawia, że odzyskanie danych jest niepewne. Zapłacenie okupu wspiera również nielegalne działania, dlatego nie jest zalecane.

Zapobieganie i usuwanie G-STARS Ransomware

Aby zapobiec dalszemu szyfrowaniu przez ransomware G-STARS (Phobos), konieczne jest wyeliminowanie go z systemu operacyjnego. Jednak usunięcie nie przywróci już zainfekowanych plików. Jedynym niezawodnym rozwiązaniem jest odzyskanie danych z kopii zapasowej, jeśli została ona wcześniej utworzona i przechowywana w innym miejscu. Zdecydowanie zaleca się przechowywanie kopii zapasowych w wielu lokalizacjach, takich jak zdalne serwery i odłączone urządzenia pamięci masowej, aby zapewnić bezpieczeństwo danych.

Ransomware, w tym G-STARS (Phobos), jest często dystrybuowane za pośrednictwem phishingu i taktyk inżynierii społecznej. Typowe metody obejmują pobieranie drive-by, złośliwe załączniki i łącza w wiadomościach Spam, oszustwa internetowe, złośliwe reklamy, podejrzane źródła pobierania, narzędzia do nielegalnej aktywacji programów i fałszywe aktualizacje. Niektóre oprogramowanie ransomware może również samoczynnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.

Te złośliwe programy mogą być zamaskowane jako zwykłe pliki, takie jak pliki wykonywalne, archiwa, dokumenty, JavaScript i inne. Po otwarciu złośliwego pliku inicjowany jest łańcuch infekcji, prowadzący do pobrania i zainstalowania oprogramowania ransomware w systemie ofiary.

Podsumowując, G-STARS Ransomware lub Phobos to niebezpieczne zagrożenie, które szyfruje pliki i żąda okupu za ich odszyfrowanie. Bardzo ważne jest podjęcie środków zapobiegawczych, takich jak przechowywanie kopii zapasowych w wielu lokalizacjach i zachowanie ostrożności podczas interakcji z wiadomościami e-mail, pobieranymi plikami i witrynami internetowymi, aby uniknąć padnięcia ofiarą takiego złośliwego oprogramowania.