Crypyt Ransomware
Cyberkriminella har släppt ett nytt ransomware-hot som heter Crypyt Ransomware. Även om analys har avslöjat att Crypyt är en variant från VoidCrypt malware-familjen, kan den fortfarande orsaka allvarlig skada på de datorer som den lyckas infektera. Hotet är utrustat med en oknäckbar krypteringsprocess som kan låsa många filtyper. Offer för Crypyt kommer inte längre att kunna komma åt eller använda de krypterade filerna. Angriparna kommer då att erbjuda sig att förse de drabbade användarna med nödvändig dekrypteringsnyckel och mjukvaruverktyg, men först efter att de har fått en rejäl lösensumma. Andra ransomware-hot inkluderar WORM (en Dharma- variant), Rugi (en STOP/Djvu- variant) och Extortionist Ransomware.
Under krypteringen kommer varje riktad fil också att få sitt namn ändrat drastiskt. Hotet följer den typiska VoidCrypt-namnkonventionen och lägger till namnen på de låsta filerna en e-postadress, en ID-sträng som tilldelas det specifika komprometterade systemet och slutligen ett nytt filtillägg. E-postadressen och tillägget som används av denna variant är '3ncrypter.m4n@gmail.com' och '.crypyt.' Lösenedeln med instruktioner för offren levereras sedan till systemet som en textfil med namnet "Read-this.txt".
Information om lösensumman
Enligt meddelandet som kräver lösen ska alla offer hitta en fil med namnet 'prvkey.txt.key' på enhetenomedelbart. Dess standardplats är i mappen C:\ProgramData\. Tydligen innehåller den här filen avgörande data (nyckel) och utan den kommer inte ens angriparna att kunna återställa någon av de låsta filerna. Filen ska skickas till hackare via de två e-postadresserna som nämns i lösennotan - '3ncrypter.m4n@gmail.com' och '3ncryptionfile@gmail.com.'
Utöver denna specifika fil kan Crypyts offer också skicka ett par av sina låsta filer som förmodligen kommer att låsas upp gratis.De valda filerna får dock inte innehålla någon värdefull information och bör vara mindre än 1 MB stora. Slutligen anger anteckningen att lösensumman måste överföras med Bitcoin kryptovaluta, ett populärt krav bland ransomware-operatörer.
Den fullständiga texten i Crypyts anteckning är:
' Alla dina filer har krypterats
Du måste betala för att få tillbaka dina filer1-Gå till C:\ProgramData\ eller i dina andra enheter och skicka filen prvkey.txt.key till oss
2-Du kan skicka en fil på mindre än 1 MB för dekrypteringstest för att lita på oss Men testfilen bör inte innehålla värdefull data
3-betalning bör ske med Bitcoin
4-Ändra Windows utan att spara filen prvkey.txt.key kommer att orsaka permanent dataförlustVår e-post: 3ncrypter.m4n@gmail.com
i fall av inget svar:3ncryptionfile@gmail.com '
