GCNI Ransomware

Nutzer sollten die auf keinen Fall die Fähigkeit von GCNI Ransomware unterschätzen, Schaden zu verursachen. Forscher von Infosec haben die GCNI Ransomware als eine Variante der Spora Ransomware- Familie identifiziert. Der von GCNI verwendete starke Verschlüsselungsalgorithmus ist in der Lage, jeden der zahlreichen Zieldateitypen ganz und gar zu sperren. Opfer, die den Zugriff auf ihre Daten wiederherstellen wollen, werden von den Angreifern erpresst, um angeblich nach Bezahlung den benötigten Entschlüsselungsschlüssel zu senden.

Während des Verschlüsselungsprozesses ändert GCNI die Namen der gesperrten Dateien erheblich. Es fügt einen ID-String, eine E-Mail-Adresse und eine neue Dateierweiterung hinzu. Die ID ist für jedes Opfer eindeutig, die E-Mail-Adresse lautet „FilesRecoverEN@Gmail.com" und die Dateierweiterung „.GCNI". Die Bedrohung hinterlässt zwei Lösegeldforderungen auf den angegriffenen Systemen. Eine ist in einer Textdatei namens 'Read_Me!_.txt' enthalten, während die andere in einem Popup-Fenster angezeigt wird.

Übersicht der Lösegeldforderung

Die beiden Notizen teilen viele der gleichen Details. Sie geben an, dass die Opfer ein Lösegeld mit der Kryptowährung Bitcoin zahlen müssen. Sie sollten auch versuchen, die Hacker innerhalb von 48 Stunden nach dem Angriff zu kontaktieren, oder riskieren, das doppelte Lösegeld zahlen zu müssen. Wenn Opfer zu lange brauchen, um Kontakt aufzunehmen, wird der für die Wiederherstellung ihrer Daten erforderliche Entschlüsselungsschlüssel von den Servern der Hacker gelöscht, wodurch die Dateien nicht wiederhergestellt werden können.

Der Hinweis erwähnt zwei E-Mail-Adressen, die unter der Kontrolle der Angreifer stehen – „FilesRecoverEN@Gmail.com" und „FilesRecoverEN@Onionmail.org". Als Teil ihrer Nachricht werden die Opfer aufgefordert, ein paar gesperrte Dateien zu senden, die entschlüsselt und kostenlos zurückgegeben werden sollten. Die einzigen Anforderungen in dem Hinweis sind, dass die Dateien weniger als 2 MB groß sein dürfen und keine wichtigen Informationen enthalten dürfen.

Die Meldung in der Textdatei lautet:

' Alle Ihre Dateien mit dem stärksten Verschlüsselungsalgorithmus verschlüsselt!

Wenn Sie Ihre Dateien wirklich benötigen, senden Sie uns bitte eine E-Mail, um Entschlüsselungstools und Anweisungen zu erhalten
Sie müssen einige gesperrte Dateien zum Entschlüsselungstest an uns senden (vor der Zahlung)!

Wenn Sie uns keine E-Mail senden und Ihre Dateien nach einer Weile nicht benötigen, werden unsere Server Ihre Decrypion-Schlüssel von den Servern entfernen !!!

Ihre eindeutige ID:
E-Mail-Adresse: FilesRecoverDE@Gmail.com

Beachtung!!!
Betreff Ihre eindeutige ID

Verschlüsselte Dateien nicht bearbeiten oder umbenennen.

Wenn Sie uns nach 48 Stunden keine E-Mail senden, verdoppelt sich die Entschlüsselungsgebühr.
Versuchen Sie nicht, Dateien von Drittanbieter- oder Datenwiederherstellungssoftware zu entschlüsseln, da dies Dateien beschädigen kann.
Falls Sie versuchen, Dateien mit Software von Drittanbietern zu entschlüsseln, kann dies die Entschlüsselung erschweren, sodass die Preise steigen.

Das Popup-Fenster zeigt die folgenden Anweisungen:

Alle Ihre Dateien wurden verschlüsselt!

Alle Ihre Dateien sind aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt (mit dem stärksten Verschlüsselungsalgorithmus). Wenn Sie Ihre Dateien wirklich benötigen, senden Sie uns bitte eine E-Mail, um Entschlüsselungstools zu erhalten.
Die einzige Möglichkeit, Dateien wiederherzustellen, besteht darin, Entschlüsselungstools zu kaufen (die Zahlung muss mit Bitcoin erfolgen). Wenn Sie uns nach 48 Stunden keine E-Mail senden, verdoppelt sich die Entschlüsselungsgebühr.
Wenn Sie uns keine E-Mail senden und Ihre Dateien nach einer Weile nicht benötigen, löschen unsere Server automatisch Ihre Decrypion-Schlüssel von den Servern!
Unsere E-Mail-Adresse: FilesRecoverDE@Gmail.com
Ihre persönliche ID: -
Die gesendete E-Mail sollte Ihre persönliche ID enthalten. Wenn Sie keine Antwort erhalten oder ein anderes Problem haben, schreiben Sie uns eine E-Mail an: FilesRecoverEN@Onionmail.org
Überprüfen Sie auch Ihren Spam-Ordner.

Welche Garantie geben wir Ihnen?
Sie können (müssen) einige Dateien zum Entschlüsselungstest senden (vor der Zahlung). Die Dateigröße muss weniger als 2 MB betragen und die Dateien sollten keine wertvollen Daten wie (Backups, Datenbanken usw.) enthalten.

Wie man Bitcoins kauft
Holen Sie sich Bitcoin-Kaufanweisungen bei LocalBitcoins:
hxxps://localbitcoins.com/guides/how-to-buy-bitcoins
Kaufen Sie Bitcoin-Anweisungen bei Coindesk und anderen Websites, indem Sie bei Google suchen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Beachtung !!
Verschlüsselte Dateien nicht bearbeiten oder umbenennen.
Versuchen Sie nicht, Dateien von Drittanbieter- oder Datenwiederherstellungssoftware zu entschlüsseln, da dies Dateien für immer beschädigen kann.
Falls Sie versuchen, Dateien mit Drittanbieter-Software zu entschlüsseln, kann dies die Entschlüsselung erschweren, sodass die Preise steigen. '