File Ransomware
يحذر باحثو الأمن السيبراني المستخدمين من تهديد ضار من برامج الفدية يسمى File Ransomware. برنامج File Ransomware قادر على قفل العديد من أنواع الملفات المختلفة ، مما يمنع المستخدمين بشكل فعال من الوصول إلى بياناتهم الخاصة. يمكن للمهاجمين استخدام الملفات المشفرة كرافعة لابتزاز الأموال من ضحاياهم. على الرغم من التأكد من أن File Ransomware هو نوع من عائلة Phobos الضارة ، إلا أن قدرته على إحداث الضرر لا تزال كبيرة.
سيلاحظ ضحايا File Ransomware أن جميع الملفات المتأثرة قد تم تعديل الأسماء بشكل كبير. في الواقع ، يضيف File Ransomware سلسلة معرف وعنوان بريد إلكتروني يتحكم فيه المهاجمون و ".FILE" إلى أسماء الملفات المشفرة. بالإضافة إلى ذلك ، سيقوم البرنامج الضار بإسقاط ملفين جديدين على الجهاز المخترق. تم تسمية هذه الملفات باسم "info.hta" و "info.txt" ، وهي مكلفة بحمل مذكرات فدية المهاجمين.
يتم استخدام ملف .hta كمصدر لنافذة منبثقة. ومع ذلك ، فإن رسالة المطالبة بالفدية المعروضة فيها قصيرة للغاية وتحتوي في الغالب على معلومات حول كيفية اتصال الضحايا بمجرمي الإنترنت. تشير الملاحظة إلى عنواني بريد إلكتروني - "teamchic@yandex.com" و "teamchica@yandex.com" بالإضافة إلى حسابين على Jabber - "teamchic@jabb.im" و "teamchic@exploit.im".
يمكن العثور على مجموعة التعليمات الكاملة التي خلفها File Ransomware في الملف النصي الخاص بالتهديد. ويبلغ الضحايا أن المبلغ المطلوب كفدية سيعتمد على مدى سرعة وصولهم إلى المهاجمين. علاوة على ذلك ، سيتم قبول المدفوعات بعملة البيتكوين فقط. يذكر المتسللون أيضًا أنهم على استعداد لفك تشفير ما يصل إلى 5 ملفات مجانًا. ومع ذلك ، يجب أن يكون حجم الملفات المختارة أقل من 4 ميجا بايت ويجب ألا تحتوي على أي بيانات مهمة.
مذكرة الفدية التي تم تسليمها كملف نصي هي:
تم تشفير جميع ملفاتك!
تم تشفير جميع ملفاتك بسبب مشكلة أمنية في جهاز الكمبيوتر الخاص بك. إذا كنت ترغب في استعادتها ، فاكتب لنا على البريد الإلكتروني teamchic@yandex.com
اكتب هذا المعرف في عنوان رسالتك -
في حالة عدم الرد خلال 24 ساعة ، راسلنا على هذا البريد الإلكتروني: teamchica@yandex.com
إذا لم يكن هناك رد من بريدنا ، فيمكنك تثبيت عميل Jabber ومراسلتنا لدعم teamchic@jabb.im أو teamchic@exploit.im
عليك أن تدفع مقابل فك التشفير في عملات البيتكوين. السعر يعتمد على مدى سرعة مراسلتنا. بعد الدفع ، سنرسل لك الأداة التي ستفك تشفير جميع ملفاتك.فك تشفير مجاني كضمان
قبل الدفع ، يمكنك إرسال ما يصل إلى 5 ملفات لنا لفك التشفير مجانًا. يجب أن يكون الحجم الإجمالي للملفات أقل من 4 ميجا بايت (غير مؤرشفة) ، ويجب ألا تحتوي الملفات على معلومات قيمة. (قواعد البيانات والنسخ الاحتياطية وأوراق Excel الكبيرة وما إلى ذلك)كيفية الحصول على عملات البيتكوين
أسهل طريقة لشراء عملات البيتكوين هي موقع LocalBitcoins. يجب عليك التسجيل ، والنقر فوق "شراء عملات البيتكوين" ، واختيار البائع عن طريق طريقة الدفع والسعر.
hxxps: //localbitcoins.com/buy_bitcoins
يمكنك أيضًا العثور على أماكن أخرى لشراء Bitcoins ودليل المبتدئين هنا:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/تعليمات تثبيت عميل Jabber:
قم بتنزيل عميل jabber (Pidgin) من hxxps: //pidgin.im/download/windows/
بعد التثبيت ، سيطالبك عميل Pidgin بإنشاء حساب جديد.
انقر فوق "إضافة"
في حقل "البروتوكول" ، حدد XMPP
في "اسم المستخدم" - اختر أي اسم
في حقل "المجال" - أدخل أي خادم جابر ، فهناك الكثير منها ، على سبيل المثال - استغلال إم.
إنشاء كلمة مرور
في الجزء السفلي ، ضع علامة "إنشاء حساب"
انقر فوق إضافة
إذا حددت "المجال" - exploit.im ، يجب أن تظهر نافذة جديدة ستحتاج فيها إلى إعادة إدخال بياناتك:
المستعمل
كلمه السر
ستحتاج إلى اتباع الرابط إلى كلمة التحقق (هناك سترى الأحرف التي تحتاج إلى إدخالها في الحقل أدناه)
إذا كنت لا تفهم إرشادات تثبيت عميل Pidgin ، فيمكنك العثور على العديد من دروس التثبيت على youtube - hxxps: //www.youtube.com/results؟ search_query = pidgin + jabber + installانتباه!
لا تقم بإعادة تسمية الملفات المشفرة.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث ، فقد يتسبب ذلك في فقد دائم للبيانات.
قد يؤدي فك تشفير ملفاتك بمساعدة جهات خارجية إلى زيادة الأسعار (يضيفون رسومهم إلى موقعنا) أو قد تصبح ضحية لعملية احتيال.الرسالة التي تظهر كنافذة منبثقة هي:
جميع ملفاتك مشفرة !!!
لفك تشفيرهم ، أرسل بريدًا إلكترونيًا إلى هذا العنوان: teamchic@yandex.com.
إذا لم نجب خلال 24 ساعة ، أرسل بريدًا إلكترونيًا إلى هذا العنوان: teamchica@yandex.com
إذا لم يكن هناك رد من بريدنا ، فيمكنك تثبيت عميل Jabber ومراسلتنا لدعم teamchic@jabb.im أو teamchic@exploit.im '
