Threat Database Ransomware Godra Ransomware

Godra Ransomware

Par GoldSparrow en Ransomware

Fiche d'évaluation menace

Classement: 18,248
Niveau de menace: 80 % (Haute)
Ordinateurs infectés : 7
Vu la première fois: November 10, 2022
Vu pour la dernière fois : September 8, 2023
Systèmes d'exploitation concernés: Windows

Godra Ransomware est un cheval de Troie qui peut chiffrer toutes vos données, il a été ajouté aux bases de données AV le 15 décembre 2017. Godra Ransomware est considéré comme un cheval de Troie générique doté d'algorithmes de cryptage, qui sont utilisés pour modifier les données générées par les utilisateurs. Le processus de chiffrement a pour but de rendre les fichiers ciblés illisibles et d'inciter l'utilisateur à payer une rançon pour utiliser les services d'un outil de décryptage. Les auteurs de Godra Ransomware utilisent des spams et des documents texte à base de macros, qui contiennent un message apparemment corrompu. Sur les machines des utilisateurs de PC qui reçoivent le message s'affiche une notification indiquant qu'ils doivent télécharger une police auprès de Microsoft pour charger le texte correctement. Toutefois, le script incorporé ne télécharge pas de police, mais la charge elle-même décode le shell chiffré et charge la menace dans le système.

L'analyse initiale des menaces montre que Godra Ransomware est principalement destiné aux utilisateurs basés en Croatie, mais nous pouvons voir des versions internationales qui se propagent en anglais, et encore d'autres langues. Godra Ransomware se comporte comme AslaHora Ransomware et '.odin File Extension' Ransomware. Les fichiers ciblés sont chiffrés et ils reçoivent le suffixe du fichier '.godra'. Par exemple, ‘Howard Shore – The treason of Isengard.mp3’ est renommé ‘Howard Shore – The treason of Isengard.mp3.godra’. La notification de la rançon est sauvegardée sur le bureau et les clichés instantanés de volume sont supprimés. La notification de la rançon est présentée en deux variantes: — ‘KAKO OTKLJUČATI VAŠE DATOTEKE.txt’ and ‘KAKO OTKLJUČATI VAŠE DATOTEKE.log’ (les deux traduisent par « COMMENT DÉVERROUILLER LES DONNÉES » en français). Les utilisateurs compromis sont invités à payer 2.000 EUR via Bitcoins, ce qui signifie acheter 0.130709 BTC (selon les taux de conversion au moment de la rédaction) et transférer l'argent à l'adresse du portefeuille ‘13srq1SP93mEs7asR2UxWBUts3x9oUcuac’. Une fois le paiement initié, les utilisateurs sont supposés écrire un e-mail à ‘godra@protonmail.ch’ et fournir leurs identifiants, numéros de transaction et noms d'ordinateurs.

Il est recommandé d'éviter tout contact avec les auteurs de menaces, car ils peuvent demander plus d'argent s'ils découvrent que leur produit a été chargé sur un réseau d'entreprise. Vous pouvez éliminer Godra Ransomware et sécuriser le lancement de vos copies de sauvegardes. Il peut être possible d'utiliser des fichiers d'archive qui se trouvaient sur le PC compromis, mais vous devez vérifier s'ils ne sont pas corrompus. Les entreprises antivirus se réfèrent aux objets créés par Godra Ransomware en utilisant les balises suivantes:

  • Artemis!B38FC1CB9A6C
  • Ransom_Agent.R002C0OLI17
  • Trojan.Encoder.23895
  • Trojan.Ransom.Godra
  • W64/Crowti.EI
  • Win64.Trojan.Agent.LXP7SW
  • Win64.Trojan.Agent.Pepr

Tendance

Le plus regardé

Chargement...