Ransomware GPAA ostro traktuje swoje ofiary „w szczytnym celu”
Ransomware GPAA to szyfrujący pliki pasożyt mający na ccelowniku około 180 róznych rodzajów plików. Wszystkie te pliki mogą zostać zaszyfrowane przez wirusa i stać się całkowiccie bezużyteczne. Wirus korzysta z algorytmu szyfrującego RSA-4096 i dodaje rozszerzenie .cerber6, by oznaczyć wszystkie przezń uszkodzone pliki. Jeśli nie masz prywatnego klucza – pełniącego formę pomocy od hakerów – twoje pliki mogą być już nie do odszyfrowania.
Oszuści stojący za tym wirusem podają się za część Globalnej Agencji Pomocy Biedzie (Global Poverty Aid Agency, GPAA) i gratulują ofierze z okazji zostania członkiem tej organizacji charytatywnej. Oczywiście, słowa te to wierutne kłamstwa wykorzystane przez cyberprzestępców do wyciągania pieniędzy z ofiar.
W rzeczywistości, wirus GPAA to stosunkowo prosty ransomware i wszystkie pieniądze generowane przez niego wspierają jego twórców zamiast zwalczać biedę. Z tego powodu usunięcie szkodnika powinno stać się ważnym zadaniem dla tych, których sprzęt padł ofiarą wirusa.
By usunąć wirusa GPAA, niektórzy eksperci zalecają używać ręcznych metod. My stanowczo tego odradzamy – mało doświadczona osoba może w taki sposób uszkodzić komputer na dobre. Zamiast tego, skorzystaj z pomocy dobrego programu anty-spyware i pozwól mu przeskanować wszystkie pliki.
Hakerzy stojący za ransomware'm GPAA domagają się ogromnego, wynoszącego niemal 11 Bitcoinów, okupu na rzecz odzyskania zaszyfrowanych plików. Wszystkie żądania, wraz z informacjami na temat zakupu Bitcoinów oraz adresem, na który okup ma zostać przesłany, są umieszczone w pliku ! READ.htm.

Widać, że żądanie okupu zostało pospiesznie napisane. Już na pierwszy rzut oka widać masę literówek, błędów stylistycznych czy interpunkcyjnych w tekście. Cała zawartość tego pliku, po przetłumaczeniu wygląda tak:
Gratulancje! Od teraz jesteś członkiem GPAA (Globalnej Agencji Pomocy Biedzie).
Potrzebujemy bitcoinów, naszym crowdfundingowym celem jest 1000 BTC. 1 BTC dla 1 DZIECKA!
>> Kliknij Tutaj By Kupić Bitcoiny <<
Q: Co się stało
A: Łups, twoje waszne pliki są zaszyfrowane. Zwaczy to, nie będziesz miał już do nich więsej dostępu, jeśli nie masz KLUCZA (RSA4096)..Q: Jak mogę dostać program deszyfrujący?
A: Twoim zadaniem jest 10.91 btc.
Wyślij poprawną kwotę na adres bitcoin 19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
Możesz wysłać więcej. Kiedy uda się spełnić cel, dostaniesz program deszyfrujący.Q: Gdzie mogę dostać program deszyfrujący?
A: Gdy spełnimy ccel, wyślemy dekrypter na adres [email protected]
(Możesz ten adres najpierw zarejestrować określonym hasłem: Uratuj1000Dzieci!!! ).
Błędy w pliku powinny od razu zasygnalizować, że to nie jest aktualna organizacja charytatywna, tylko hakerzy liczący na zgarnięcie Twoich pieniędzy. Powinieneś powiedzieć „Nie!” wszelkim propozycjom zapłaty okupu i zamiast tego rozpocząć usunięcie GPAA
Nowy sposób przekazywania klucza deszyfrującego:
Żądanie okupu wirusa GPAA odsłania jedną interesującą rzecz na temat tego malware — zupełnie nową strategię związaną z dostarczaniem klucza deszyfrującego. Oszuści tworzą falszywe adresy email, na który ofiara musi się zalogować, podając określone haslo.
Login zmienia się z każdym indywidualnym atakiem i jest powiązany z adresem portfela botcoin. Jeśli portfel ma adres 19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W, ofiary będą musiały wejść na adres mailowy [email protected] (litery “sc” to pierwsze litery angielskiej wersji hasła „Uratuj Dzieci”).
Przestępcy pozostają stali w decyzji o haśle i wybrali slogan „Uratuj1000Dzieci!!!”. Możemy domyślać się, że hasło to pozostaje niezmienne, podczas gdy adresy – mailowy i Bitcoin – zmieniają się z każdym atakiem GPAA.

Hakerzy korzystają z RDP do dystrybucji ransomware
GPAA to bardzo interesujący malware – wykorzystuje on niecodzienne techniki zarówno w komunikacji z ofiarami, jak i w dystybucji. Podczas, gdy wirus ten może korzystać ze złośliwych reklam, trojanow czy spamu, by dostać się do komputera, może także wepchnąć się do komputera, łamiąc zabezpieczenia słabych sieci RDP.
RDP – czyli Protokół Zdalnego Dostępu – jest funkcją Windowsa odpowiedzialną za zapewnianie interfejsu graficznego, który pozwoli użytkownikom dostać się do innych komputerów poprzez połączenie sieciowe.
Możesz zapobiec atakowi GPAA poprzez wybranie silniejszego hasła w sieci. Poza tym, tak jak w przypadku innyh technik rozpowszechniania ransomware, świadome przeglądanie internetu powinno być kluczem do pozostanie bezpiecznym.
Instrukcje usuwania ransomware'a GPAA
Dopóki wirus jest nie do rozszyfrowania jedyną rzeczą, jaką możesz zrobić, jest usunięcie ransomware'a GPAA z komputera w celu uniemożliwienia malware'owi szyfrowania kolejnych plików lub korzystania z zasobów komputera.
Wirus ten powinien zostać wyeliminowany poprzez wykorzystanie odpowiedniego oprogramowania antywirusowego, które przeskanowałoby cały system i wykopało wszelkie poukrywane pliki wirusa. Po usunięciu wirusa GPAA, takie narzędzia pomogą chronić Cię przed podobnymi wypadkami w przyszłości.
Powinieneś mieć jednaj na uwadze to, że procedura usuwania nie rozszyfruje twoich plików. Te pozostaną zaszyfrowane – będziesz musiał skorzystać z innych metod bądź nawet ze specjalnych narzędzi w celu odzyskania. Więej na ten temat na końcu strony.
Czy ten poradnik był pomocny?
Skomentuj jako pierwszy