Бърз Ransomware

Нов вариант на Phobos Ransomware е идентифициран от изследователи на infosec. Заплахата е наречена Fastvery Ransomware и целта й е да криптира данните на жертвите си и след това да поиска те да платят солиден откуп. Той е насочен към множество типове файлове - документи, архиви, бази данни, снимки, изображения, PDF файлове и т.н., и ги прави недостъпни и неизползваеми.

Освен това, като част от процеса на криптиране, Fastvery Ransomware също ще промени значително оригиналните имена на заключените файлове. Заплахата следва модела на именуване на семейството на зловреден софтуер Phobos – първо добавя уникален идентификационен номер за конкретната жертва, след това добавя имейл адрес, контролиран от нападателите (fastvery@veryfast.biz), и накрая поставя „.fastvery" като ново разширение на файла. След това злонамереният софтуер ще достави две бележки за откуп с инструкции за жертвите. Единият ще се съдържа в новосъздадения текстов файл с име 'info.txt', докато другият ще бъде представен в нов изскачащ прозорец.

Изискванията на Fastvery Ransomware

В инструкциите, предоставени чрез текстовия файл, липсват много важни подробности. Вместо това на жертвите просто се казва да се свържат със същия имейл адрес „fastvery@veryfast.biz". Ако няма отговор в рамките на 24 часа, засегнатите потребители трябва да изпратят съобщение на резервния имейл на „2fastvery@veryfast.biz".

Правилната бележка за откуп ще се покаже в изскачащия прозорец. В него се посочва, че откупът трябва да бъде платен с помощта на криптовалутата биткойн и точната сума ще зависи от времето, необходимо на жертвите, за да установят контакт с нападателите. Бележката също така споменава, че потребителите могат да изпращат до 5 файла, които да бъдат декриптирани безплатно.Избраните файлове обаче не трябва да съдържат никаква ценна информация и не трябва да надвишават общия размер от 4MB. Бележката за откуп завършва с няколко предупреждения.

Съобщението, доставено през изскачащия прозорец е:

' Всичките ви файлове са криптирани!
Всичките ви файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл fastvery@veryfast.biz
Напишете този ID в заглавието на вашето съобщение -
В случай на липса на отговор в рамките на 24 часа ни пишете на този e-mail:2fastvery@veryfast.biz
Трябва да платите за декриптиране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще декриптира всичките ви файлове.

Безплатно декриптиране като гаранция
Преди да платите можете да ни изпратите до 5 файла за безплатно декриптиране. Общият размер на файловете трябва да бъде по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, архивни копия, големи Excel листове и др.)

Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни" и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама.

Текстовият файл съдържа следното съобщение:

!!!Всичките ви файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: fastvery@veryfast.biz.
Ако не отговорим в рамките на 24 часа, изпратете имейл на този адрес: 2fastvery@veryfast.biz .'