Lilmoon Ransomware to kolejny klon VoidCrypt
Podczas analizy próbek złośliwego oprogramowania przesłanych do VirusTotal odkryliśmy Lilmoon, członka rodziny ransomware VoidCrypt. To ransomware szyfruje dane i zmienia nazwy plików, dodając identyfikator ofiary, adres e-mail (encrypt.ns@gmail.com) i rozszerzenie ".lilmoon". Na przykład nazwa pliku o nazwie „1.jpg” zostaje zmieniona na „1.jpg. (encrypt.ns@gmail.com).lilmoon”.
Lilmoon tworzy również żądanie okupu w postaci pliku o nazwie „Dectryption-guide.txt”, który wyjaśnia, jak działa szyfrowanie i instruuje ofiary, aby nie modyfikowały plików ani nie korzystały z narzędzi odzyskiwania innych firm, ponieważ może to spowodować utratę danych i klucza akta. Daje ofiarom dwa adresy e-mail - encrypt.ns@gmail.com i decrypt.ns@gmail.com, z którymi mogą się kontaktować, wraz z identyfikatorem sprawy i dołączonym plikiem testowym, aby udowodnić, że są prawdziwymi właścicielami zaszyfrowanych plików w celu otrzymania odszyfrowania instrukcje dotyczące przywrócenia ich danych.
Lilmoon kopiuje zwykłe żądanie okupu VoidCrypt
Pełny tekst żądania okupu Lilmoon brzmi następująco:
Your Files Are Has Been Locked
Your Files Has Been Encrypted with cryptography Algorithm
If You Need Your Files And They are Important to You, Dont be shy Send Me an Email
Send Test File + The Key File on Your System (File Exist in C:/ProgramData example : RSAKEY-SE-24r6t523 pr RSAKEY.KEY) to Make Sure Your Files Can be Restored
Get Decryption Tool + RSA Key AND Instruction For Decryption Process
Attention:
1- Do Not Rename or Modify The Files (You May loose That file)
2- Do Not Try To Use 3rd Party Apps or Recovery Tools ( if You want to do that make an copy from Files and try on them and Waste Your time )
3-Do not Reinstall Operation System(Windows) You may loose the key File and Loose Your Files
Your Case ID :
OUR Email :encrypt.ns@gmail.com
in Case of no answer: decrypt.ns@gmail.com
W jaki sposób ransomware, takie jak Lilmoon, może zainfekować komputer domowy?
Oprogramowanie ransomware, takie jak Lilmoon, może zainfekować system domowy na różne sposoby. Cyberprzestępcy zazwyczaj rozpowszechniają oprogramowanie ransomware za pośrednictwem złośliwych stron internetowych, załączników do wiadomości e-mail lub plików do pobrania typu drive-by download. Mogą również używać złośliwych linków lub zestawów exploitów do rozprzestrzeniania złośliwego oprogramowania. Ponadto użytkownicy powinni uważać na pobieranie freeware, cracków do oprogramowania i torrentów, ponieważ są one często związane z atakami ransomware. Ważne jest, aby upewnić się, że całe oprogramowanie jest aktualne i regularnie tworzyć kopie zapasowe systemu, aby w razie potrzeby można było przywrócić wszelkie zaszyfrowane dane.