Arch Ransomware

Infosec-forskere har afdækket en ny farlig ransomware-trussel, der er blevet frigivet i naturen. Kaldet Arch Ransomware, truslen er blevet klassificeret som en variant, der tilhører Makop ransomware- familien. Brugere, der er inficeret med Arch Ransomware, finder sig effektivt låst ude af deres egne filer. Faktisk vil næsten alle filer på computersystemer, der er kompromitteret med truslen, gøres utilgængelige gennem en krypteringsrutine, der anvender stærke kryptografiske algoritmer.

Arch Ransomware udviser de sædvanlige træk forbundet med denne type malware. For det første krypterer det de målrettede filtyper, derefter ændrer det navnene på de berørte filer ved at tilføje en streng af tegn til dem efterfulgt af en e-mail-adresse under hackernes kontrol og endelig en ny filtypenavn. E-mail-adressen er 'bobwhite@msgsafe.io', mens udvidelsen er '.arch.' Det næste skridt er at slippe løsesummen med instruktioner til ofrene. Truslen gør det ved at oprette tekstfiler med navnet 'readme-warning.txt' i alle mapper, der indeholder krypterede data.

Arch Ransomwares note er struktureret som en FAQ, og ifølge den ønsker cyberkriminelle at modtage en løsesum betalt i Bitcoin, hvis de skal sende dekrypteringssoftwaren, der potentielt kan gendanne de låste filer. Berørte brugere kan starte kontakt ved at sende en besked til en af de to e-mails, der findes i noten - den ene er den samme som den e-mail, der er placeret i navnene på de krypterede filer, mens den anden er 'bobwhite@cock.li.' For at demonstrere deres evne til at dekryptere brugerens filer tillader hackere, at op til to filer vedhæftes e-mail-beskeden. Filerne må ikke være databaser og skal være mindre end 1 MB.

Den fulde tekst i Arch Ransomware's note er:

::: Vær hilset :::

Lille FAQ:
.1.
Q: Hvad sker der?
A: Dine filer er blevet krypteret og har nu udvidelsen "arch". Filstrukturen blev ikke beskadiget, vi gjorde alt muligt, så dette ikke kunne ske.

.2.
Spørgsmål: Hvordan gendannes filer?
Svar: Hvis du ønsker at dekryptere dine filer, skal du betale i bitcoins.

.3.
Spørgsmål: Hvad med garantier?
A: Det er bare en forretning. Vi er ligeglad med dig og dine tilbud undtagen at få fordele. Hvis vi ikke udfører vores arbejde og forpligtelser - vil ingen samarbejde med os. Det er ikke i vores interesse.
For at kontrollere evnen til at returnere filer, kan du sende os 2 filer med SIMPLE-udvidelser (jpg, xls, doc osv ... ikke databaser!) Og lave størrelser (maks. 1 mb), vi dekrypterer dem og sender tilbage til dig. Det er vores garanti.

.4.
Spørgsmål: Hvordan kontakter jeg dig?
A: Du kan skrive os til vores postkasse: bobwhite@msgsafe.io eller bobwhite@cock.li

.5.
Spørgsmål: Hvordan fortsætter dekrypteringsprocessen efter betaling?
A: Efter betaling sender vi vores scannerdekoderprogram og detaljerede brugsanvisninger til dig. Med dette program vil du være i stand til at dekryptere alle dine krypterede filer.

.6.
Spørgsmål: Hvis jeg ikke vil betale dårlige mennesker som dig?
Svar: Hvis du ikke samarbejder med vores service - for os betyder det ikke noget. Men du mister din tid og data, fordi kun vi har den private nøgle. I praksis er tiden meget mere værd end penge.

:::PAS PÅ:::
Forsøg IKKE at ændre krypterede filer selv!
Hvis du vil prøve at bruge tredjepartssoftware til at gendanne dine data eller antivirusløsninger - lav en sikkerhedskopi af alle krypterede filer!
Enhver ændring i krypterede filer kan medføre beskadigelse af den private nøgle og som følge heraf tab af alle data.