NUURI 勒索軟件是 Phobos 變種
在我們對文件樣本的調查過程中,我們的惡意軟件研究人員團隊發現了一種名為 NURRI 的新勒索軟件。進一步分析表明,NURRI 是 Phobos 勒索軟件家族的一部分。該惡意軟件通過添加“.NURRI”擴展名以及受害者的 ID 和電子郵件地址 (nury_espitia@tuta.io) 來加密文件並修改其文件名。此外,NURRI 留下了兩張勒索字條,即“info.hta”和“info.txt”。
為了說明 NURRI 如何重命名加密文件,我們舉個例子:原本名為“1.jpg”的文件會被更改為“1.jpg.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI”,而“2.png”將變為“2.png.id[9ECFA84E-3352].[nury_espitia@tuta.io].NURRI”,依此類推。
勒索信解釋說,由於用戶計算機上的安全問題,所有文件都已被加密。它提供了一個電子郵件地址 (nury_espitia@tuta.io) 和一個 ID,用於聯繫攻擊者以啟動文件恢復過程。所要求的比特幣贖金取決於用戶聯繫攻擊者的速度。
該說明還提到了用戶可以發送最多三個文件以進行免費解密的選項作為保證。它建議不要重命名加密文件或使用第三方解密軟件,以避免永久數據丟失或成為詐騙的受害者。第二個勒索字條(“info.txt”)包含其他聯繫信息,例如 Telegram 用戶名 (@HostUppp)。
NUURI 勒索信索要比特幣贖金
NUURI贖金字條全文如下:
您的所有文件都已加密!
由於您的電腦存在安全問題,您的所有文件均已加密。如果您想恢復它們,請發送電子郵件至 nury_espitia@tuta.io
將此 ID 寫在您的消息標題中 -
如果您在 24 小時內沒有收到回复,請通過 Telegram.org 帳戶聯繫我們:@HostUppp
你必須用比特幣支付解密費用。價格取決於您給我們寫信的速度。付款後,我們將向您發送解密所有文件的工具。
免費解密為保障
付款前您可以向我們發送最多 3 個文件以免費解密。文件總大小必須小於 4Mb(非存檔),並且文件不應包含有價值的信息。 (數據庫、備份、大型 Excel 工作表等)
如何獲得比特幣
購買比特幣最簡單的方法是 LocalBitcoins 網站。您必須註冊,點擊“購買比特幣”,然後按付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在這裡找到其他購買比特幣的地方和初學者指南:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力!
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據,這可能會導致永久數據丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲(他們將其費用添加到我們的費用中),或者您可能成為詐騙的受害者。
如何保護您的數據免受類似於 NUURI 的勒索軟件攻擊?
保護您的數據免受 NURRI 等勒索軟件攻擊需要採取主動方法和預防措施相結合。您可以採取以下一些步驟來增強數據安全性:
- 備份數據:定期將重要文件備份到離線或云存儲解決方案。確保備份已加密並定期驗證其完整性。
- 保持軟件最新:安裝操作系統、應用程序和安全軟件的更新和補丁。這些更新通常包括重要的安全修復程序,可以防止已知漏洞。
- 使用強大的安全軟件:在您的所有設備上安裝和維護信譽良好的防病毒/反惡意軟件軟件。保持更新並定期掃描以檢測和消除任何潛在威脅。
- 謹慎對待電子郵件附件和下載:打開電子郵件附件或從不受信任或可疑來源下載文件時要小心。避免點擊未經請求的電子郵件中的鏈接,並警惕從未經驗證的網站下載文件。
- 啟用強大的安全設置:利用防火牆和彈出窗口阻止程序等內置安全功能來添加額外的保護層。啟用自動掃描電子郵件附件和下載的惡意軟件。
- 教育您自己和您的員工:隨時了解勒索軟件攻擊中使用的最新網絡釣魚技術和社會工程策略。培訓您自己和您的員工識別並避免可疑電子郵件、鏈接和附件。
- 啟用宏安全:默認禁用辦公應用程序中的宏,僅在必要時啟用它們。當系統提示您在未知或不可信來源的文檔中啟用宏時,請務必小心。
- 使用強而獨特的密碼:為您的所有帳戶實施強而復雜的密碼,並避免在多個平台上重複使用密碼。考慮使用密碼管理器來安全地存儲和生成唯一的密碼。
- 啟用雙因素身份驗證 (2FA):盡可能啟用 2FA 以添加額外的安全層。這要求用戶提供額外的驗證方法,例如發送到其移動設備的唯一代碼以及密碼。
