GoTiS Ransomware oparty na Xorist

Nasz zespół badawczy wykrył oprogramowanie ransomware GoTiS podczas rutynowego sprawdzania przesłanych nowych plików. To złośliwe oprogramowanie jest powiązane z rodziną ransomware Xorist i działa poprzez szyfrowanie danych, żądając okupu za odszyfrowanie.

W naszym środowisku testowym GoTiS szyfrowało pliki i dodało rozszerzenie „.GoTiS” do ich nazw. Na przykład plik o nazwie „1.jpg” został przekształcony w „1.jpg.GoTiS”, a plik „2.png” stał się „2.png.GoTiS” i tak dalej.

Po zakończeniu procesu szyfrowania GoTiS wygenerował identyczne notatki z żądaniem okupu, które wyświetlały się na tapecie pulpitu, w wyskakującym oknie oraz w pliku tekstowym o nazwie „HOW TO DECRYPT FILES.txt”. Notatka z żądaniem okupu informuje ofiarę, że jej pliki są teraz zaszyfrowane, a klucz deszyfrujący i oprogramowanie można uzyskać za cenę 0,04 BTC (kryptowaluta Bitcoin). W chwili pisania tego tekstu okup ten wyceniany jest na około 1400 USD, biorąc pod uwagę, że kursy walut podlegają ciągłym wahaniom. Po przesłaniu Bitcoinów ofiara jest kierowana do skontaktowania się z atakującymi.

GoTiS żąda okupu w wysokości 0,04 BTC

Pełny tekst żądania okupu GoTiS brzmi następująco:

Hello,

All your files have been encrypted.
To decrypt them, you must make a payment of 0.04 bitcoins.

Ensure that you send the 0.04 bitcoins to the following address:
(alphanumeric string)

If you don't own bitcoin, you can easily purchase it from the following sites:

www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

For a more extensive list, please visit:
hxxps://bitcoin.org/en/exchanges

Once the bitcoin has been sent, contact me at either of these email addresses:
gotis1@skiff.com
gotis@onionmail.org
Use this subject: GOTIS004-ID-PCIS05301004
For a good communication experience,
kindly create an account on skiff.com and get in touch with us.

Po potwierdzeniu płatności otrzymasz klucze deszyfrujące i deszyfrujące.
Dodatkowo otrzymasz informacje o tym, jak zabezpieczyć się przed przyszłymi atakami oprogramowania ransomware, w tym szczegółowe informacje na temat luki w zabezpieczeniach, dzięki której uzyskaliśmy dostęp.

Jak chronić swoje dane przed atakami ransomware?

Ochrona danych przed atakami ransomware wymaga połączenia proaktywnych środków i najlepszych praktyk. Oto kilka niezbędnych kroków, które pomogą chronić Twoje dane:

Regularne kopie zapasowe:
Regularnie twórz kopie zapasowe ważnych danych. Automatyczne i częste kopie zapasowe zapewniają, że masz aktualne, nieuszkodzone kopie plików.
Przechowuj kopie zapasowe w lokalizacji, która nie jest bezpośrednio dostępna z Twojego komputera lub sieci. Zalecane jest przechowywanie w chmurze lub tworzenie kopii zapasowych offline.

Zaktualizować oprogramowanie:
Aktualizuj swój system operacyjny, oprogramowanie antywirusowe i wszystkie aplikacje. Regularne stosowanie poprawek zabezpieczeń pomaga chronić przed znanymi lukami w zabezpieczeniach.

Oprogramowanie zabezpieczające:
Zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem. Upewnij się, że zapewnia ochronę w czasie rzeczywistym i regularnie aktualizuj swoje definicje wirusów.

Bezpieczeństwo poczty e-mail:
Użyj rozwiązań do filtrowania wiadomości e-mail, aby blokować podejrzane wiadomości e-mail lub poddać je kwarantannie. Rozwiązania te mogą pomóc w identyfikowaniu wiadomości e-mail phishingowych zawierających oprogramowanie ransomware i zapobieganiu im.