Crypyt Ransomware
Cyberkriminelle har frigivet en ny ransomware-trussel ved navn Crypyt Ransomware. Selvom analyser har afsløret, at Crypyt er en variant fra VoidCrypt malware-familien, kan den stadig forårsage alvorlig skade på de computere, den formår at inficere. Truslen er udstyret med en krypteringsproces, der ikke kan knækkes, og som kan låse adskillige filtyper. Ofre for Crypyt vil ikke længere være i stand til at få adgang til eller bruge de krypterede filer. Angriberne vil så tilbyde at give de berørte brugere den nødvendige dekrypteringsnøgle og softwareværktøj, men først efter at de har fået en stor løsesum. Andre ransomware-trusler omfatter WORM (en Dharma- variant), Rugi (en STOP/Djvu- variant) og Extortionist Ransomware.
Under krypteringen vil hver målrettet fil også få sit navn ændret drastisk. Truslen følger den typiske VoidCrypt-navnekonvention og tilføjer til navnene på de låste filer en e-mailadresse, en id-streng tildelt det specifikke kompromitterede system og til sidst en ny filtypenavn. E-mailadressen og udvidelsen, der bruges af denne særlige variant, er '3ncrypter.m4n@gmail.com' og '.crypyt.' Løsesedlen med instruktioner til ofrene bliver derefter leveret til systemet som en tekstfil med navnet 'Read-this.txt'.
Oplysninger om løsesum
Ifølge den løsesum-krævende besked skal alle ofre finde en fil med navnet 'prvkey.txt.key' på enhedenmed det samme. Dens standardplacering er i mappen C:\ProgramData\ . Tilsyneladende indeholder denne fil afgørende data (nøgle), og uden dem vil selv angriberne ikke være i stand til at gendanne nogen af de låste filer. Filen skal sendes til hackere via de to e-mailadresser, der er nævnt i løsesum-notatet - '3ncrypter.m4n@gmail.com' og '3ncryptionfile@gmail.com.'
Udover denne specifikke fil kan Crypyts ofre også sende et par af deres låste filer, som angiveligt vil blive låst op gratis.De valgte filer må dog ikke indeholde værdifuld information og bør være mindre end 1 MB i størrelse. Til sidst står der i notatet, at løsesumsbetalingen skal overføres ved hjælp af Bitcoin-kryptovalutaen, et populært krav blandt ransomware-operatører.
Den fulde tekst af Crypyts notat er:
' Alle dine filer er blevet krypteret
Du skal betale for at få dine filer tilbage1-Gå til C:\ProgramData\ eller i dine andre drev, og send os prvkey.txt.key-filen
2-Du kan sende en fil på lidt end 1 MB til dekrypteringstest for at stole på os Men testfilen bør ikke indeholde værdifulde data
3-betaling skal være med Bitcoin
4-Ændring af Windows uden at gemme filen prvkey.txt.key vil forårsage permanent tab af dataVores e-mail:3ncrypter.m4n@gmail.com
i tilfælde af intet svar:3ncryptionfile@gmail.com '
