NOOSE Ransomware nazwany na cześć podmiotu zajmującego się grami wideo

NOOSE, rodzaj oprogramowania ransomware powiązanego z rodziną Chaos, działa poprzez infekowanie komputerów i szyfrowanie plików. Nazwa ransomware pochodzi od fikcyjnego organu ścigania z serii gier wideo Grant Theft Auto.

Podczas procesu szyfrowania NOOSE dodaje rozszerzenie „.NOOSE” do zaszyfrowanych plików, modyfikuje tapetę pulpitu i generuje żądanie okupu o nazwie „OPEN_ME.txt”. Przykładowo, pliki takie jak „1.jpg” stają się „1.jpg.NOOSE”, a „2.png” przekształcają się w „2.png.NOOSE”.

Osoby stojące za tym cyberzagrożeniem żądają zapłaty w Monero (XMR) w zamian za oprogramowanie deszyfrujące niezbędne do odzyskania plików ofiary. Żądanie okupu zawiera szczegółowy zestaw instrukcji dla ofiary, w tym wysłanie wiadomości e-mail na określony adres z unikalnym identyfikatorem i zrzutem ekranu transakcji płatniczej.

Sprawcy zapewniają ofiarę, że po zweryfikowaniu płatności oprogramowanie odszyfrowujące zostanie niezwłocznie wysłane. Dodatkowo w notatce znajdują się istotne informacje, takie jak możliwość uzyskania rabatu w przypadku kontaktu ofiary w ciągu 24 godzin, ostrzeżenie dotyczące potencjalnych opóźnień w odpowiedziach na e-maile oraz groźba trwałej utraty danych w przypadku wykrycia próby manipulacji szczegółami transakcji.

Obraz wallappera w zainfekowanym systemie zostaje zmieniony na nieruchome ujęcie aktora Javiera Bardema z filmu „To nie jest kraj dla starych ludzi”.

NOOSE żąda okupu w wysokości 1540 dolarów

Pełny tekst żądania okupu NOOSE brzmi następująco:

National Office of Security Enforcement [N.O.O.S.E] Report

Introduction:
National Office of Security Enforcement [N.O.O.S.E]
You were infected by a ransomware made by N.O.O.S.E
No need to Google us, we only exist when we want to.

What happened?
You are infected with the NOOSE ransomware. This version does have an antidot.
Your unique ID is: NOOSEVariant2ID3754865400

I want my data back:
To get your data back, you need our decryption software. Which only N.O.O.S.E have.
Our software is worth 1540 USD.

Informacje o oprogramowaniu deszyfrującym:
Aby odszyfrować pliki i dane, potrzebujesz klucza prywatnego. Bez tego nie możesz mieć nic w zamian.
Nasze oprogramowanie wykorzystuje Twój bezpiecznie przechowywany klucz prywatny do odszyfrowania Twoich cennych danych.
Żadne inne oprogramowanie nie jest w stanie odszyfrować Twoich danych bez klucza prywatnego.

Waluta płatności:
Akceptujemy wyłącznie Monero XMR jako metodę płatności.

Informacja o płatności:
Cena: 9,7 XMR
Adres Monero: 476cVjnoiK2Ghv17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV5cYTKSd7CuF4LZJ76ZcDDt1WZZvpdZDuzbgPBPVs3yBBJ32

Po dokonaniu płatności:
Wyślij nam wiadomość na adres malignant@tuta.io w poprawnym następującym formacie:
-Temat: [Nazwa Twojego kraju] Nazwa urządzenia/użytkownika (Przykład: [USA] John Doe)
-Mój unikalny identyfikator: [Twój unikalny identyfikator].
-Identyfikator transakcji: [ID transakcji] i załączony zrzut ekranu płatności.

Weryfikacja i potwierdzenie:
Gdy zweryfikujemy i potwierdzimy Twoją płatność, rozpoznamy Twoje urządzenie i wyślemy Ci oprogramowanie odszyfrowujące.

Ważne notatki:
-Możemy udzielić Ci zniżki, jeśli skontaktujesz się z nami w ciągu 24 godzin.
- Ze względu na dużą liczbę zajętych e-maili, udzielenie odpowiedzi może zająć do 24 godzin.
-Wszyscy nasi klienci otrzymali zwrot danych po dokonaniu płatności.
-Niewpisanie we właściwej formie spowoduje zignorowanie Twojej poczty.
-Każda próba sfałszowania identyfikatora transakcji lub zrzutu ekranu doprowadzi do trwałej utraty danych.

Jak chronić swoje cenne dane przed oprogramowaniem ransomware?

Ochrona cennych danych przed oprogramowaniem ransomware wymaga wdrożenia kombinacji proaktywnych środków i najlepszych praktyk. Oto kilka zaleceń, które pomogą chronić Twoje dane przed atakami oprogramowania ransomware:

Regularnie twórz kopie zapasowe swoich danych:
Pamiętaj o regularnym wykonywaniu kopii zapasowych ważnych plików i danych.
Przechowuj kopie zapasowe w osobnej lokalizacji, takiej jak zewnętrzny dysk twardy lub usługa w chmurze, aby zapobiec ich uszkodzeniu w przypadku naruszenia bezpieczeństwa głównego systemu.

Użyj niezawodnego oprogramowania zabezpieczającego:
Zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem, aby wykrywać infekcje ransomware i zapobiegać im.
Aktualizuj oprogramowanie zabezpieczające, aby zapewnić ochronę przed najnowszymi zagrożeniami.

Aktualizuj systemy operacyjne i oprogramowanie:
Regularnie aktualizuj swój system operacyjny, oprogramowanie antywirusowe i wszystkie inne aplikacje, aby załatać luki.
Włącz automatyczne aktualizacje, jeśli to możliwe, aby zachować ochronę przed znanymi lukami w zabezpieczeniach.

Zachowaj ostrożność w przypadku załączników i łączy do wiadomości e-mail:
Uważaj na nieoczekiwane e-maile, szczególnie te od nieznanych nadawców.
Unikaj klikania podejrzanych łączy lub pobierania załączników z wiadomości e-mail, które wydają się podejrzane lub nieoczekiwane.

Wdrażaj środki bezpieczeństwa sieci:
Korzystaj z zapór sieciowych i systemów wykrywania/zapobiegania włamaniom do monitorowania i kontrolowania ruchu sieciowego.
Ogranicz uprawnienia użytkownika tylko do niezbędnych funkcji, aby zminimalizować potencjalny wpływ ataku ransomware.