Gapo Ransomware zaszyfruje większość twoich plików

Podczas naszego dochodzenia natknęliśmy się na zidentyfikowane oprogramowanie ransomware znane jako Gapo. To konkretne złośliwe oprogramowanie wykorzystuje technikę, w której szyfruje pliki i modyfikuje ich nazwy, dodając rozszerzenie ".gapo". Ponadto generuje żądanie okupu w postaci pliku o nazwie "_readme.txt". Nasz zespół napotkał Gapo podczas badania różnych nowych próbek złośliwego oprogramowania.

Aby zilustrować, jak Gapo zmienia nazwy plików, weźmy przykłady „1.jpg” i „2.png”. Po tym, jak ransomware wykona swoją pracę, pliki te zostaną przekształcone odpowiednio w „1.jpg.gapo” i „2.png.gapo”. Należy zauważyć, że Gapo należy do rodziny ransomware Djvu. Zaobserwowano, że to konkretne oprogramowanie ransomware jest dystrybuowane przez cyberprzestępców razem z RedLine, Vidar i innymi złodziejami informacji.

Jak wspomniano w żądaniu okupu, ofiary są proszone o nawiązanie kontaktu z atakującymi za pomocą dwóch adresów e-mail: support@freshmail.top i datarestorehelp@airmail.cc. Zgodnie z notatką ofiary muszą zapłacić 980 USD lub 490 USD, aby uzyskać oprogramowanie i klucz do odszyfrowania. W notatce wspomniano również o specjalnej ofercie, która stwierdza, że jeśli ofiary skontaktują się z atakującymi w ciągu 72 godzin, mogą nabyć narzędzia deszyfrujące po obniżonej cenie 490 USD.

List z żądaniem okupu od Gapo żąda 490 dolarów

Pełny tekst ransomware Gapo brzmi następująco:

UWAGA!

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne są szyfrowane przy użyciu najsilniejszego szyfrowania i unikalnego klucza.
Jedyną metodą odzyskania plików jest zakup narzędzia deszyfrującego i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać wartościowych informacji.
Możesz pobrać i przejrzeć narzędzie do odszyfrowywania przeglądu wideo:
hxxps://we.tl/t-sD0OUYo1Pd
Cena klucza prywatnego i oprogramowania deszyfrującego wynosi 980 USD.
Rabat 50% dostępny, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź swój e-mail w folderze "Spam" lub "śmieci", jeśli nie otrzymasz odpowiedzi dłużej niż 6 godzin.

Aby otrzymać to oprogramowanie, musisz napisać na nasz e-mail:
support@freshmail.top

Zarezerwuj adres e-mail do kontaktu z nami:
datarestorehelp@airmail.cc

Twój osobisty identyfikator:

W jaki sposób ransomware, takie jak Gapo, może zainfekować Twój system?

Ransomware, takie jak Gapo, jest zwykle dystrybuowane online za pomocą różnych metod. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może zainfekować Twój system:

Załączniki do wiadomości e-mail: Cyberprzestępcy często wykorzystują wiadomości phishingowe do dystrybucji oprogramowania ransomware. Wysyłają wiadomości e-mail, które wyglądają na uzasadnione i przekonujące, zawierające złośliwe załączniki, takie jak zainfekowane dokumenty programu Word, pliki PDF lub pliki ZIP. Po otwarciu załącznika ransomware jest uruchamiany w systemie.

Złośliwe łącza: Inną metodą są złośliwe łącza osadzone w wiadomościach e-mail, wiadomościach błyskawicznych lub postach w mediach społecznościowych. Kliknięcie takich linków przekierowuje użytkowników do stron internetowych zawierających zestawy exploitów, które następnie wykorzystują luki w oprogramowaniu systemowym w celu dostarczenia ładunku ransomware.

Drive-by Downloads: Ransomware może być również dystrybuowane za pośrednictwem zainfekowanych lub złośliwych stron internetowych. Pobieranie drive-by ma miejsce, gdy użytkownicy odwiedzają takie witryny, a ransomware jest po cichu pobierane i instalowane w ich systemach bez ich wiedzy i zgody.

Malvertising: Cyberprzestępcy mogą wykorzystywać złośliwe reklamy (malvertisements) na legalnych stronach internetowych. Reklamy te zawierają ukryty złośliwy kod, który po kliknięciu lub obejrzeniu przekierowuje użytkowników do stron internetowych hostujących ransomware lub inicjuje automatyczne pobieranie.

Wykorzystywanie luk w oprogramowaniu: Ransomware może wykorzystywać luki w zabezpieczeniach przestarzałego oprogramowania lub systemów operacyjnych. Atakujący aktywnie szukają luk w zabezpieczeniach i opracowują exploity, aby dostarczać ładunki ransomware przez te luki w zabezpieczeniach.