BITCOINPAYMENT рансъмуер
Вариант на фамилията зловреден софтуер Phobos, рансъмуерът BITCOINPAYMENT се насочва към данните на своите жертви и ги прави неизползваеми чрез силна рутина за криптиране. След това операторите на заплахата ще се опитат да изнудват засегнатите потребители или компании за пари. Трябва да се отбележи, че въпреки че Ransomware BITCOINPAYMENT не показва значителни подобрения или модификации в сравнение с другите варианти на Phobos , неговият разрушителен потенциал не трябва да се подценява.
Като цяло Ransomware BITCOINPAYMENT следва установеното поведение на Phobos. Той променя имената на криптираните файлове, като добавя низ за идентификация, имейл адрес и ново разширение към тях. Идентификационният низ се генерира за всяка жертва, докато имейл адресът и разширението са „cleverhorse@protonmail.com“ и „.BITCOINPAYMENT“. Когато всички целеви данни бъдат заключени от заплахата, рансъмуерът BITCOINPAYMENT ще продължи да пуска два файла на нарушеното устройство, наречени „info.hta“ и „info.txt“.
Текстовият файл съдържа инструкции как засегнатите жертви могат да се свържат с Jabber акаунта на нападателя, за да получат допълнителни подробности. Също така се споменава, че до 3 криптирани файла с общ размер по-малък от 10 MB могат да бъдат изпратени за безплатно дешифриране. Пълната бележка за откуп обаче се показва в изскачащ прозорец, генериран от hta файла. Тук киберпрестъпниците поясняват, че ще се приемат само плащания, извършени с помощта на криптовалутата биткойн. Що се отнася до размера на искания откуп, той очевидно ще се основава на времето, необходимо на жертвите да установят контакт.
Пълният текст на съобщението, показано като изскачащ прозорец, е:
Всичките ви файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл cleverhorse@protonmail.com
Напишете този идентификатор в заглавието на вашето съобщение -
Ако няма отговор от нашата поща, можете да инсталирате Jabber клиента и да ни пишете в подкрепа на cleverhorse@xmpp.jp
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 1-3 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 10Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Инструкции за инсталиране на Jabber клиент:
Изтеглете клиента на jabber (Pidgin) от hxxps://pidgin.im/download/windows/
След инсталирането клиентът на Pidgin ще ви подкани да създадете нов акаунт.
Щракнете върху „Добавяне“
В полето "Протокол" изберете XMPP
В "Потребителско име" - измислете произволно име
В полето "домейн" - въведете всеки jabber-сървър, има много от тях, например - exploit.im
Създай парола
В долната част поставете отметка „Създаване на акаунт“
Щракнете върху добавяне
Ако сте избрали "домейн" - exploit.im, тогава трябва да се появи нов прозорец, в който ще трябва да въведете отново вашите данни:
Потребител
парола
Ще трябва да следвате връзката към captcha (там ще видите символите, които трябва да въведете в полето по-долу)
Ако не разбирате нашите инструкции за инсталиране на Pidgin клиент, можете да намерите много уроци за инсталиране в youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installвнимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.Текстовият файл съдържа следните инструкции:
Искате да върнете файловете си? Пишете на нашия xmpp акаунт - cleverhorse@xmpp.jp
Най-лесният начин - регистрирайте се тук hxxps://www.xmpp.jp/signup
След изтегляне на pidgin клиент hxxps://pidgin.im/
Натиснете Добавяне на акаунт, изберете протокол xmpp и поставете потребителско име от xmpp.jp къде се регистрирате
Домейн - xmpp.jp
Въведете паролата си и натиснете add
Когато влезете, натиснете Buddies --> Add Buddy-->и в потребителското име Buddys поставете cleverhorse xmpp.jp
След като видите добавения акаунт cleverhorse@xmpp.jp, щракнете два пъти върху него и напишете вашето съобщение
Можете да ни изпратите 1-3 тестови файла. Общият размер на файловете трябва да е по-малък от 10Mb (неархивирани),
ние ще ги дешифрираме и ще ви изпратим, че сме истински
Ако имате проблем с xmpp, можете да пишете на нашата поща cleverhorse@protonmail.com .'
