Co to jest oprogramowanie ransomware KoRyA?
KoRyA to rodzaj oprogramowania ransomware należącego do rodziny Xorist. Został odkryty przez badaczy złośliwego oprogramowania podczas badania próbek przesłanych do internetowych baz danych zagrożeń. KoRyA szyfruje dane i dodaje rozszerzenie „.KoRyA” do nazw plików, zmienia tapetę pulpitu, tworzy plik tekstowy zatytułowany „JAK ODSZYFROWAĆ PLIKI.txt” i wyświetla komunikat o błędzie.
Żądanie okupu w tapecie, pliku tekstowym i komunikacie o błędzie stwierdzają, że ofiary muszą zapłacić 0,06 BTC (kryptowaluta Bitcoin) na podany adres portfela, a następnie wysłać wiadomość e-mail na adres korya@tuta.io w celu uzyskania narzędzi do odszyfrowania. Ofiary mają dwa dni na dokonanie płatności, zanim ich klucze deszyfrujące zostaną usunięte.
Kiedy KoRyA jest aktywny w systemie, modyfikuje nazwy plików, dodając rozszerzenie „.KoRyA” na końcu każdego z nich; na przykład „1.jpg” zmieni się w „1.jpg.KoRyA”, „2.png” stanie się „2.png.KoRyA” i tak dalej. Ponadto zmieni tapetę pulpitu z żądaniem okupu w wysokości 0,06 BTC w celu otrzymania narzędzi deszyfrujących od korya@tuta .io.
Pełna informacja o okupie wyświetlana przez KoRyA brzmi następująco:
UWAGA!
Wszystkie twoje pliki zostały zaszyfrowane
A ich odszyfrowanie będzie kosztować 0,06 bitcoina.
Aby rozpocząć proces odszyfrowywania, wykonaj poniższe czynności
Krok 1) Upewnij się, że wysyłasz 0,06 bitcoina do tego portfela:
bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c
Krok 2) Skontaktuj się ze mną pod tym adresem e-mail: korya@tuta.io
Z tym tematem: -
Po potwierdzeniu płatności,
otrzymasz deszyfrator i klucze do odszyfrowania!
Inne informacje:
Jeśli nie posiadasz bitcoina, możesz go bardzo łatwo kupić tutaj
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com
Większą listę znajdziesz tutaj:
hxxps://bitcoin.org/en/exchanges
Jeśli płatność nie zostanie dokonana w ciągu 2 dni, uznam, że nie chcesz odszyfrowywać swoich plików,
i dlatego klucze wygenerowane dla twojego komputera zostaną trwale usunięte.
Płacenie aktorom ransomware nie jest dobrym pomysłem z kilku powodów. Po pierwsze, nie ma gwarancji, że osoby atakujące faktycznie udostępnią narzędzia deszyfrujące po dokonaniu płatności. Nawet jeśli tak, nie ma gwarancji, że narzędzia będą działać zgodnie z obietnicą. Co więcej, zapłacenie okupu tylko zachęca atakujących do kontynuowania złośliwych działań i atakowania większej liczby ofiar w przyszłości.
Dodatkowo wysyła wiadomość do innych cyberprzestępców, że ataki ransomware są opłacalne i mogą być wykorzystane jako skuteczny sposób zarabiania pieniędzy. Wreszcie, zapłacenie okupu może być również nielegalne w zależności od tego, gdzie mieszkasz lub gdzie znajdują się napastnicy. Z tych powodów najlepiej jest unikać płacenia aktorom ransomware i zamiast tego skupić się przede wszystkim na zapobieganiu takim atakom poprzez podjęcie odpowiednich środków bezpieczeństwa.
