Gilfillan Ransomware
Die Gilfillan Ransomware wurde als Variante identifiziert, die aus der Malware-Familie VOidCrypt stammt. Diese Tatsache verringert jedoch nicht die Fähigkeit der Bedrohung, erheblichen Schaden an den Computern und Geräten anzurichten, die sie infizieren kann. Tatsächlich reicht die Verschlüsselungsroutine der Gilfillan Ransomware aus, um eine Vielzahl von Dateitypen zu beeinträchtigen und sie in einem völlig unbrauchbaren Zustand zu belassen.
Darüber hinaus werden die Opfer feststellen, dass der ursprüngliche Name jeder betroffenen Datei in erheblichem Maße geändert wurde. Die Bedrohung generiert für jedes Opfer eine ID-Zeichenfolge und fügt sie den Namen der gesperrten Dateien hinzu. Darauf folgt eine E-Mail-Adresse, die von den Angreifern kontrolliert wird. Am Ende wird eine neue Dateierweiterung – '.Gilfillan.' angehängt. Anweisungen für die betroffenen Benutzer werden in zwei verschiedenen Formen an die Systeme geliefert – als Textdatei mit dem Namen „Decryption-Guide.txt“ und als „Decryption-Guide.HTA“-Datei.
Details der Lösegeldforderung
Die Lösegeld fordernden Nachrichten in beiden Quellen sind völlig identisch. Sie weisen die Opfer an, dass die gesperrten Dateien immer noch wiederhergestellt werden können, aber nur über das Entschlüsselungstool und den Schlüssel, die die Angreifer besitzen. Um sie zu bekommen, wird von den Opfern erwartet, dass sie ein Lösegeld zahlen, wobei der genaue Preis Verhandlungssache ist. Als potenziellen Kommunikationskanal geben die Hacker eine einzelne E-Mail-Adresse an – „PaulGilfillan@cyberfear.com“. An die Nachricht muss eine Datei angehängt werden, die von der Gilfillan Ransomware auf den kompromittierten Systemen erstellt wurde. Der Name der Datei könnte ähnlich wie „KEY-SE-24r6t523“ oder „RSAKEY.KEY“ sein und sollte sich normalerweise im Verzeichnis C:/ProgramData befinden. Ohne die in dieser Datei enthaltenen Informationen können selbst die Hacker die Entschlüsselung der Daten der Opfer nicht abschließen.
Der gesamte Satz von Anweisungen, die von Gilfillan Ransomware hinterlassen wurden, lautet:
„ Ihre Dateien wurden gesperrt
Ihre Dateien wurden mit einem Kryptografiealgorithmus verschlüsselt
Wenn Sie Ihre Dateien brauchen und sie Ihnen wichtig sind, seien Sie nicht schüchtern, senden Sie mir eine E-Mail
Senden Sie eine Testdatei + die Schlüsseldatei auf Ihrem System (Datei existiert in C:/ProgramData Beispiel: KEY-SE-24r6t523 oder RSAKEY.KEY), um sicherzustellen, dass Ihre Dateien wiederhergestellt werden können
Machen Sie mit mir eine Preisvereinbarung und zahlen Sie
Holen Sie sich das Entschlüsselungstool + RSA-Schlüssel UND Anweisungen für den Entschlüsselungsprozess
Beachtung:
1- Benennen Sie die Dateien nicht um oder ändern Sie sie nicht (Sie könnten diese Datei verlieren)
2- Versuchen Sie nicht, Apps oder Wiederherstellungstools von Drittanbietern zu verwenden (wenn Sie dies tun möchten, erstellen Sie eine Kopie von Dateien und probieren Sie sie aus und verschwenden Sie Ihre Zeit)
3-Betriebssystem nicht neu installieren (Windows) Sie können die Schlüsseldatei und Ihre Dateien verlieren
4-Vertrauen Sie nicht immer Mittelsmännern und Unterhändlern (einige von ihnen sind gut, aber einige von ihnen einigen sich zum Beispiel auf 4000 USD und haben 10000 USD vom Kunden verlangt). Dies ist passiertIhre Fall-ID:
Unsere E-Mail: PaulGilfillan@cyberfear.com .'
