BITCOINBETALING Ransomware
Een variant van de Phobos-malwarefamilie, de BITCOINPAYMENT Ransomware, richt zich op de gegevens van zijn slachtoffers en maakt deze onbruikbaar via een sterke versleutelingsroutine. De exploitanten van de dreiging zullen dan proberen de getroffen gebruikers of bedrijven voor geld af te persen. Opgemerkt moet worden dat hoewel de BITCOINPAYMENT Ransomware geen significante verbeteringen of wijzigingen vertoont in vergelijking met de andere Phobos- varianten, het destructieve potentieel niet mag worden onderschat.
Over het algemeen volgt de BITCOINPAYMENT Ransomware het gevestigde Phobos-gedrag. Het wijzigt de namen van de versleutelde bestanden door er een ID-string, een e-mailadres en een nieuwe extensie aan toe te voegen. De ID-string wordt gegenereerd voor elk slachtoffer, terwijl het e-mailadres en de extensie 'cleverhorse@protonmail.com' en '.BITCOINPAYMENT' zijn. Wanneer alle gerichte gegevens zijn vergrendeld door de dreiging, zal de BITCOINPAYMENT Ransomware twee bestanden op het geschonden apparaat plaatsen, genaamd 'info.hta' en 'info.txt'.
Het tekstbestand bevat instructies over hoe de getroffen slachtoffers contact kunnen opnemen met het Jabber-account van de aanvaller voor meer informatie. Het vermeldt ook dat maximaal 3 versleutelde bestanden met een totale grootte van minder dan 10 MB gratis kunnen worden verzonden om te worden ontsleuteld. De volledige losgeldnota wordt echter weergegeven in een pop-upvenster dat is gegenereerd op basis van het hta-bestand. Hier verduidelijken de cybercriminelen dat alleen betalingen met Bitcoin-cryptocurrency worden geaccepteerd. Wat betreft de hoogte van het geëiste losgeld, dit zal blijkbaar gebaseerd zijn op de tijd die de slachtoffers nodig hebben om contact te leggen.
De volledige tekst van het bericht dat als een pop-upvenster wordt weergegeven, is:
' Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als je ze wilt herstellen, schrijf ons dan naar de e-mail intelligenthorse@protonmail.com
Schrijf deze ID in de titel van uw bericht -
Als er geen reactie komt van onze e-mail, kunt u de Jabber-client installeren en ons schrijven ter ondersteuning van intelligenthorse@xmpp.jp
U moet betalen voor decodering in Bitcoins. De prijs hangt af van hoe snel u ons schrijft. Na betaling sturen wij u de tool die al uw bestanden zal decoderen.Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 1-3 bestanden sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 10 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Je kunt hier ook andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installatie-instructies voor Jabber-client:
Download de jabber-client (Pidgin) van hxxps://pidgin.im/download/windows/
Na de installatie zal de Pidgin-client u vragen om een nieuw account aan te maken.
Klik op "Toevoegen"
Selecteer in het veld "Protocol" XMPP
In "Gebruikersnaam" - verzin een naam
In het veld "domein" - voer een willekeurige jabber-server in, er zijn er veel, bijvoorbeeld - exploit.im
Creëer een wachtwoord
Zet onderaan een vinkje "Account aanmaken"
Klik op toevoegen
Als u "domein" - exploit.im heeft geselecteerd, zou er een nieuw venster moeten verschijnen waarin u uw gegevens opnieuw moet invoeren:
Gebruiker
wachtwoord
U moet de link naar de captcha volgen (daar ziet u de tekens die u in het onderstaande veld moet invoeren)
Als je onze installatie-instructies voor de Pidgin-client niet begrijpt, kun je veel installatiehandleidingen vinden op youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.Het tekstbestand bevat de volgende instructies:
Wilt u uw bestanden retourneren? Schrijf naar ons xmpp-account - intelligenthorse@xmpp.jp
De gemakkelijkste manier - registreer hier hxxps://www.xmpp.jp/signup
Na het downloaden van pidgin-client hxxps://pidgin.im/
Druk op Account toevoegen, kies protocol xmpp en plaats gebruikersnaam van xmpp.jp waar bent u zich aanmeldt
Domein - xmpp.jp
Voer uw wachtwoord in en druk op toevoegen
Wanneer je inlogt druk je op Buddies --> Buddy toevoegen --> en in Buddy's gebruikersnaam zet je intelligenthorse xmpp.jp
Nadat je het toegevoegde account smarthorse@xmpp.jp ziet, klik je er twee keer op en schrijf je je bericht
U kunt ons 1-3 testbestanden sturen. De totale grootte van bestanden moet kleiner zijn dan 10 Mb (niet gearchiveerd),
we zullen ze decoderen en naar u sturen dat we echt zijn
Als je een probleem hebt met xmpp, kun je schrijven naar onze mail intelligenthorse@protonmail.com .'
