BITCOINPAYMENT Ransomware
يستهدف BITCOINPAYMENT Ransomware ، وهو نوع مختلف من عائلة البرامج الضارة Phobos ، بيانات ضحاياها ويجعلها غير قابلة للاستخدام من خلال روتين تشفير قوي. سيحاول مشغلو التهديد بعد ذلك ابتزاز المستخدمين أو الشركات المتضررة مقابل المال. وتجدر الإشارة إلى أنه على الرغم من أن BITCOINPAYMENT Ransomware لا تظهر أي تحسينات أو تعديلات مهمة عند مقارنتها بمتغيرات Phobos الأخرى ، إلا أنه لا ينبغي الاستهانة بإمكانياتها التدميرية.
بشكل عام ، تتبع BITCOINPAYMENT Ransomware سلوك Phobos الراسخ. يقوم بتعديل أسماء الملفات المشفرة عن طريق إضافة سلسلة معرف وعنوان بريد إلكتروني وامتداد جديد لهم. يتم إنشاء سلسلة المعرف لكل ضحية ، بينما عنوان البريد الإلكتروني والملحق هما "cleverhorse@protonmail.com" و ".BITCOINPAYMENT." عندما يتم قفل جميع البيانات المستهدفة بسبب التهديد ، ستواصل BITCOINPAYMENT Ransomware إسقاط ملفين على الجهاز المخترق ، المسمى "info.hta" و "info.txt".
يحتوي الملف النصي على تعليمات حول كيفية اتصال الضحايا المتأثرين بحساب Jabber الخاص بالمهاجم للحصول على مزيد من التفاصيل. يذكر أيضًا أنه يمكن إرسال ما يصل إلى 3 ملفات مشفرة بحجم إجمالي أقل من 10 ميغابايت لفك تشفيرها مجانًا. ومع ذلك ، يتم عرض مذكرة الفدية الكاملة في نافذة منبثقة تم إنشاؤها من ملف hta. هنا ، يوضح مجرمو الإنترنت أنه سيتم قبول المدفوعات التي تتم باستخدام عملة البيتكوين المشفرة فقط. أما بالنسبة لحجم الفدية المطلوبة ، فمن الواضح أنها ستعتمد على الوقت الذي يستغرقه الضحايا في الاتصال.
النص الكامل للرسالة الذي يظهر كنافذة منبثقة هو:
تم تشفير جميع ملفاتك!
تم تشفير جميع ملفاتك بسبب مشكلة أمنية في جهاز الكمبيوتر الخاص بك. إذا كنت ترغب في استعادتها ، فاكتب إلينا على البريد الإلكتروني cleverhorse@protonmail.com
اكتب هذا المعرف في عنوان رسالتك -
إذا لم يكن هناك رد من بريدنا ، فيمكنك تثبيت عميل Jabber ومراسلتنا لدعم cleverhorse@xmpp.jp
عليك أن تدفع مقابل فك التشفير في عملات البيتكوين. السعر يعتمد على مدى سرعة مراسلتنا. بعد الدفع ، سنرسل لك الأداة التي ستفك تشفير جميع ملفاتك.فك تشفير مجاني كضمان
قبل الدفع ، يمكنك إرسال ما يصل إلى 1-3 ملفات لفك التشفير مجانًا. يجب أن يكون الحجم الإجمالي للملفات أقل من 10 ميغا بايت (غير مؤرشفة) ، ويجب ألا تحتوي الملفات على معلومات قيمة. (قواعد البيانات والنسخ الاحتياطية وأوراق Excel الكبيرة وما إلى ذلك)كيفية الحصول على عملات البيتكوين
أسهل طريقة لشراء عملات البيتكوين هي موقع LocalBitcoins. يجب عليك التسجيل ، والنقر فوق "شراء عملات البيتكوين" ، واختيار البائع عن طريق طريقة الدفع والسعر.
hxxps: //localbitcoins.com/buy_bitcoins
يمكنك أيضًا العثور على أماكن أخرى لشراء Bitcoins ودليل المبتدئين هنا:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/تعليمات تثبيت عميل Jabber:
قم بتنزيل عميل jabber (Pidgin) من hxxps: //pidgin.im/download/windows/
بعد التثبيت ، سيطالبك عميل Pidgin بإنشاء حساب جديد.
انقر فوق "إضافة"
في حقل "البروتوكول" ، حدد XMPP
في "اسم المستخدم" - اختر أي اسم
في حقل "المجال" - أدخل أي خادم جابر ، فهناك الكثير منها ، على سبيل المثال - استغلال إم.
إنشاء كلمة مرور
في الجزء السفلي ، ضع علامة "إنشاء حساب"
انقر فوق إضافة
إذا حددت "المجال" - exploit.im ، يجب أن تظهر نافذة جديدة ستحتاج فيها إلى إعادة إدخال بياناتك:
المستعمل
كلمه السر
ستحتاج إلى اتباع الرابط إلى كلمة التحقق (هناك سترى الأحرف التي تحتاج إلى إدخالها في الحقل أدناه)
إذا كنت لا تفهم إرشادات تثبيت عميل Pidgin ، فيمكنك العثور على العديد من دروس التثبيت على youtube - hxxps: //www.youtube.com/results؟ search_query = pidgin + jabber + installانتباه!
لا تقم بإعادة تسمية الملفات المشفرة.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث ، فقد يتسبب ذلك في فقد دائم للبيانات.
قد يؤدي فك تشفير ملفاتك بمساعدة جهات خارجية إلى زيادة السعر (يضيفون رسومهم إلى موقعنا) أو قد تصبح ضحية لعملية احتيال.يحتوي الملف النصي على التعليمات التالية:
هل تريد إعادة ملفاتك؟ اكتب إلى حساب xmpp الخاص بنا - cleverhorse@xmpp.jp
أسهل طريقة - سجل هنا hxxps: //www.xmpp.jp/signup
بعد تنزيل العميل المبسط hxxps: //pidgin.im/
اضغط على إضافة حساب ، واختر بروتوكول xmpp ثم أدخل اسم المستخدم من xmpp.jp حيث تقوم بالتسجيل
المجال - xmpp.jp
ضع كلمة مرورك واضغط على إضافة
عند تسجيل الدخول ، اضغط على الأصدقاء -> إضافة الأصدقاء -> وفي اسم مستخدم Buddys ضع cleverhorse xmpp.jp
بعد أن ترى الحساب المضاف cleverhorse @ xmpp.jp ، انقر عليه مرتين واكتب رسالتك
يمكنك أن ترسل لنا 1-3 ملفات اختبار. يجب أن يكون الحجم الإجمالي للملفات أقل من 10 ميغا بايت (غير مؤرشف) ،
سنقوم بفك تشفيرها ونرسل لك أننا حقيقيون
إذا كانت لديك مشكلة مع xmpp ، يمكنك الكتابة إلى بريدنا cleverhorse@protonmail.com .
