NUURI 勒索软件是 Phobos 变种
在我们对文件样本的调查过程中,我们的恶意软件研究人员团队发现了一种名为 NURRI 的新勒索软件。进一步分析表明,NURRI 是 Phobos 勒索软件家族的一部分。该恶意软件通过添加“.NURRI”扩展名以及受害者的 ID 和电子邮件地址 (nury_espitia@tuta.io) 来加密文件并修改其文件名。此外,NURRI 留下了两张勒索字条,即“info.hta”和“info.txt”。
为了说明NURRI如何重命名加密文件,我们举个例子:原本名为“1.jpg”的文件将被更改为“1.jpg.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI”,而“2.png”将变为“2.png.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI”,依此类推。
勒索信解释说,由于用户计算机上的安全问题,所有文件都已被加密。它提供了一个电子邮件地址 (nury_espitia@tuta.io) 和一个 ID,用于联系攻击者以启动文件恢复过程。所要求的比特币赎金取决于用户联系攻击者的速度。
该说明还提到了用户可以发送最多三个文件以进行免费解密的选项作为保证。它建议不要重命名加密文件或使用第三方解密软件,以避免永久性数据丢失或成为诈骗的受害者。第二个勒索字条(“info.txt”)包含其他联系信息,例如 Telegram 用户名 (@HostUppp)。
NUURI 勒索信索要比特币赎金
NUURI赎金字条全文如下:
您的所有文件都已加密!
由于您的电脑存在安全问题,您的所有文件均已加密。如果您想恢复它们,请发送电子邮件至 nury_espitia@tuta.io
将此 ID 写在您的消息标题中 -
如果您在 24 小时内没有收到回复,请通过 Telegram.org 帐户联系我们:@HostUppp
你必须用比特币支付解密费用。价格取决于您给我们写信的速度。付款后,我们将向您发送解密所有文件的工具。
免费解密为保障
付款前您可以向我们发送最多 3 个文件以免费解密。文件总大小必须小于 4Mb(非存档),并且文件不应包含有价值的信息。 (数据库、备份、大型 Excel 工作表等)
如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册,点击“购买比特币”,然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力!
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据,这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨(他们将其费用添加到我们的费用中),或者您可能成为诈骗的受害者。
如何保护您的数据免受类似于 NUURI 的勒索软件攻击?
保护您的数据免受 NURRI 等勒索软件攻击需要采取主动方法和预防措施相结合。您可以采取以下一些步骤来增强数据安全性:
- 备份数据:定期将重要文件备份到离线或云存储解决方案。确保备份已加密并定期验证其完整性。
- 保持软件最新:安装操作系统、应用程序和安全软件的更新和补丁。这些更新通常包括重要的安全修复程序,可以防止已知漏洞。
- 使用强大的安全软件:在您的所有设备上安装和维护信誉良好的防病毒/反恶意软件软件。保持更新并定期扫描以检测和消除任何潜在威胁。
- 谨慎对待电子邮件附件和下载:打开电子邮件附件或从不受信任或可疑来源下载文件时要小心。避免点击未经请求的电子邮件中的链接,并警惕从未经验证的网站下载文件。
- 启用强大的安全设置:利用防火墙和弹出窗口阻止程序等内置安全功能来添加额外的保护层。启用自动扫描电子邮件附件和下载的恶意软件。
- 教育您自己和您的员工:随时了解勒索软件攻击中使用的最新网络钓鱼技术和社会工程策略。培训您自己和您的员工识别并避免可疑电子邮件、链接和附件。
- 启用宏安全:默认禁用办公应用程序中的宏,仅在必要时启用它们。当系统提示您在未知或不可信来源的文档中启用宏时,请务必小心。
- 使用强而独特的密码:为您的所有帐户实施强而复杂的密码,并避免在多个平台上重复使用密码。考虑使用密码管理器来安全地存储和生成唯一的密码。
- 启用双因素身份验证 (2FA):尽可能启用 2FA 以添加额外的安全层。这要求用户提供额外的验证方法,例如发送到其移动设备的唯一代码以及密码。
