NORD Ransomware
Die NORD Ransomware ist eine potenzielle Bedrohung für Krypto-Schließfächer. Obwohl es nicht ganz einzigartig ist, haben Infosec-Forscher festgestellt, dass die NORD Ransomware eine WannaScream-Variante ist, die ihre zerstörerischen Fähigkeiten in keiner Weise beeinträchtigt. In der Tat werden Opfer der Bedrohung plötzlich von ihren eigenen Computern ausgeschlossen, und sie können nicht auf ihre Dateien zugreifen oder diese verwenden.
Im Rahmen des Verschlüsselungsprozesses ändert die NORD Ransomware die Namen der betroffenen Dateien drastisch. Die Bedrohung hängt eine eindeutige ID-Zeichenfolge an den ursprünglichen Namen der Datei an, gefolgt von einer E-Mail-Adresse, die von den Hackern kontrolliert wird, und schließlich '.NORD' als neue Dateierweiterung. Die E-Mail-Adresse lautet "decryptfilekhoda@protonmail.com". Auf den gefährdeten Systemen werden zwei verschiedene Lösegeldscheine abgelegt. Eine wird in einem Popup-Fenster (info.hta) angezeigt, während sich die andere in Textdateien (ReadMe.txt) befindet, die in jedem Ordner mit verschlüsselten Daten erstellt wurden.
Die Anweisungen in den Textdateien sind äußerst kurz. Sie fordern die Opfer einfach auf, die Hacker über die bereitgestellten Kommunikationskanäle zu kontaktieren. Während die WannaScream-Vorlage für den Lösegeldschein ein Telegrammkonto und eine sekundäre E-Mail-Adresse enthält, haben sich die für die NORD Ransomware verantwortlichen Kriminellen nicht darum gekümmert, sie einzuschließen. Die einzige Möglichkeit, eine Kommunikation herzustellen, die den Opfern der Bedrohung zur Verfügung steht, besteht darin, eine E-Mail an die oben genannte Adresse "decryptfilekhoda@protonmail.com" zu senden. Die Lösegeldnotiz aus dem Popup-Fenster enthält etwas mehr Details. Obwohl die genaue von den Hackern geforderte Summe nicht erwähnt wird, heißt es, dass die potenzielle Transaktion mit Bitcoins durchgeführt werden muss. Außerdem können betroffene Benutzer bis zu 5 Dateien, die eine Gesamtgröße von 4 MB nicht überschreiten, an die E-Mail-Nachricht anhängen, die kostenlos entschlüsselt werden soll.
Der vollständige Text der 'ReadMe.txt'-Dateien lautet:
'[+] Alle Ihre Dateien wurden verschlüsselt [+]
[-] Möchten Sie Ihre Dateien wirklich wiederherstellen?
[+] Schreiben Sie uns an die E-Mail: decryptfilekhoda@protonmail.com
[+] Schreiben Sie uns ins ID-Telegramm:
[+] Wenn Sie erst 24 Stunden später eine Antwort erhalten haben, schreiben Sie an diese E-Mail: decryptfilekhoda@protonmail.com
[-] Schreiben Sie Ihre eindeutige ID in den Titel Ihrer Nachricht.
[+] Eindeutige ID: '
Die vollständigen Anweisungen der Lösegeldnotiz 'info.hta' enthalten:
'Alle Ihre Dateien wurden von Wanna Scream verschlüsselt!
aufgrund eines Sicherheitsproblems mit Ihrem PC. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail decryptfilekhoda@protonmail.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht: -
Falls innerhalb von 24 Stunden keine Antwort erfolgt, schreiben Sie uns an diese E-Mail: decryptfilekhoda@protonmail.com
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, mit dem Sie alle Ihre Dateien entschlüsseln können.
Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung senden. Die Gesamtgröße der Dateien muss weniger als 4 MB (nicht archiviert) betragen, und Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)
So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Site. Sie müssen sich registrieren, auf "Bitcoins kaufen" klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps: //localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins und Anfängerführer kaufen können:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu einem erhöhten Preis führen (sie erhöhen ihre Gebühr zu unserer) oder Sie können Opfer eines Betrugs werden. '
