Vad är G-STARS Ransomware?

G-STARS Ransomware, även känd som Phobos, är ett skadligt program som faller under kategorin ransomware. Den här typen av skadlig programvara är utformad för att kryptera data på offrets system och sedan kräva betalning från offret i utbyte mot dekrypteringsnyckeln.

I olika undersökningar av datasäkerhetsexperter stötte de på G-STARS (Phobos) ransomware medan de analyserade nya bidrag på VirusTotal-webbplatsen. När denna ransomware infekterar en maskin krypterar den filer och ändrar deras namn. De ursprungliga filnamnen läggs till med ett unikt ID, e-postadressen till cyberbrottslingarna och tillägget ".G-STARS". Till exempel skulle en fil som ursprungligen hette "1.jpg" visas som "1.jpg.id[9ECFA84E-3442].[ support.antimalware@onionmail.com ].G-STARS". Ransomwaren skapar sedan lösennoteringar i både en textfil ("info.txt") och ett popup-fönster ("into.hta").

G-STARS Ransomware lösensumma

Lösensedlarna som lämnats av G-STARS (Phobos) ger liknande information. De informerar offret om att deras filer har krypterats och instruerar dem att kontakta angriparna med flera kommunikationsmetoder. Dessutom hävdar anteckningarna att känslig information från det komprometterade nätverket, såsom personal- och kunddata, finansiella detaljer och tillverkningsdokument, har exfiltrerats. Angriparna hotar att öka lösensumman och läcka det stulna innehållet om offret dröjer med att kontakta dem. De varnar också för att döpa om de krypterade filerna eller använda återställningsverktyg från tredje part, eftersom det kan göra data okrypterbar.

Anteckningen lyder som följer:

Hej min kära vän. Alla dina filer har krypterats!

Tyvärr för dig lämnade en stor IT-säkerhetssvaghet dig öppen för attack, dina filer har krypterats. Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Om du vill återställa dina filer, skriv till detta e-postmeddelande: support.antimalware@onionmail.com Om du inte svarar inom 24 timmar, skriv till oss på denna e-post:support.antimalware@msgden.com
Vår online-operatör är tillgänglig i Messenger Telegram: @Files_decrypt eller hxxps://t.me/Files_decrypt
Om det inte kommer något svar från vår e-post, kan du installera ICQ-programvara på din PC här hxxps://icq.com/windows/ eller på smartphone från Appstore / Google Play Market sök efter "ICQ"
Skriv till vår ICQ @Ransomware_Decrypt hxxps://icq.im/Ransomware_Decrypt/ Eller ladda ner (Session) messenger (hxxps://getsession.org) i messenger: 0569a7c0949434c9c4464cf2423f66d045d045e4018b9e3418b6e34186e341866e34186d0446e34186d3e34186d3e34186d0456e34186d3e34186d 13
Du måste lägga till detta ID - och vi kommer att slutföra vår omvandling.
Eller ladda ner Tox Chat (hxxps://tox.chat/download.html') i messenger: C20A4B4AC30BBF70E7F2340FC0F97B08FA58B6E041557ABBF29EAF82FED0C47D79239FA28B59 Du måste lägga till oss och skriva till oss detta ID4-26B59.

Observera att du aldrig kommer att återställa dina data utan betalning. Kolla din e-post "Spam" eller "Junk"-mapp om du inte får svar mer än 6 timmar.
Kontakta oss snart, för de som inte har sin data läckt i vår pressmeddelandeblogg och priset de får betala kommer att gå upp avsevärt.

Din data
Känsliga data på ditt system har laddats ned.
Om du INTE VILL att dina känsliga uppgifter PUBLICERAS måste du agera snabbt.

Data inkluderar:
Anställdas personuppgifter, CV, DL, SSN.
Komplett nätverkskarta inklusive autentiseringsuppgifter för lokala och fjärrtjänster.
Privat finansiell information inklusive: kunddata, räkningar, budgetar, årsredovisningar, kontoutdrag.
Tillverkar dokument inklusive: datagram, scheman, ritningar i solidworks-format
Och mer...

Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Vi är alltid redo att samarbeta och hitta det bästa sättet att lösa ditt problem.
Ju snabbare du skriver - desto gynnsammare villkor blir det för dig.
Vårt företag värdesätter sitt rykte. Vi ger alla garantier för dekryptering av dina filer.

Baserat på omfattande forskning om ransomware är det i allmänhet svårt att dekryptera filer utan angriparnas hjälp. Även om lösensumman betalas kan det hända att offren inte får dekrypteringsnycklarna eller verktygen, vilket gör dataåterställningen osäker. Att betala lösensumman stöder också illegala aktiviteter, så det rekommenderas inte.

Förebyggande och borttagning av G-STARS Ransomware

För att förhindra ytterligare krypteringar av G-STARS (Phobos) ransomware är det viktigt att eliminera det från operativsystemet. Borttagning kommer dock inte att återställa redan komprometterade filer. Den enda tillförlitliga lösningen är att återställa data från en säkerhetskopia om en sådan skapats i förväg och lagrats någon annanstans. Det är starkt tillrådligt att underhålla säkerhetskopior på flera platser, såsom fjärrservrar och frånkopplade lagringsenheter, för att säkerställa datasäkerheten.

Ransomware, inklusive G-STARS (Phobos), distribueras ofta genom nätfiske och social ingenjörskonst. Vanliga metoder inkluderar drive-by-nedladdningar, skadliga bilagor och länkar i spam-e-postmeddelanden, onlinebedrägerier, malvertising, tvivelaktiga nedladdningskällor, illegala programaktiveringsverktyg och falska uppdateringar. Vissa ransomware kan också spridas själv via lokala nätverk och flyttbara lagringsenheter.

Dessa skadliga program kan vara förklädda som vanliga filer, såsom körbara filer, arkiv, dokument, JavaScript och mer. När en virulent fil har öppnats initieras infektionskedjan, vilket leder till nedladdning och installation av ransomware på offrets system.

Sammanfattningsvis är G-STARS Ransomware, eller Phobos, ett farligt hot som krypterar filer och kräver en lösensumma för deras dekryptering. Det är avgörande att vidta förebyggande åtgärder som att hålla säkerhetskopior på flera platser och vara försiktig när du interagerar med e-postmeddelanden, nedladdningar och webbplatser för att undvika att bli offer för sådan skadlig programvara.