Cip Ransomware

Изследователите на Infosec са идентифицирали друга разрушителна заплаха за рансъмуер, която е част от семейството на Dharma ransomware. Наречена Cip Ransowmare, заплахата следва отблизо типичното поведение на Дхарма, без да проявява значителни отклонения. Все пак щетите, които може да причини на заразените компютърни системи, не са за подценяване.

Cip използва силен алгоритъм за криптиране, за да заключи почти всички файлове на жертвата си. Засегнатите потребители ще бъдат възпрепятствани да имат достъп или да използват по какъвто и да е начин техните документи, PODF, архиви, бази данни, снимки, снимки, аудио и видео файлове и т.н. По време на процеса на криптиране, Cip Ransomware също така ще промени имената на целевите файлове. Заплахата се придържа към обичайния модел на именуване на Dharma, като първо се добавя символен низ, който действа като идентификатор на жертвата. След това Cip добавя имейл адрес, контролиран от неговите оператори. Накрая, '.cip' ще бъде добавен като ново файлово разширение.

На жертвите ще бъдат оставени две бележки за откуп, съдържащи инструкции от нападателите. Единият ще бъде поставен на работния плот на компрометираната система като текстов файл с име 'info.txt'. Другата бележка ще се покаже в нов изскачащ прозорец.

Изискванията на Cip Ransomware

Целта на заплахата е изнудване на пари в замяна на възстановяване на данните на жертвата. И в двете му бележки за откуп обаче липсват много от важните подробности, наблюдавани при други заплахи за откуп. В съобщенията не се споменава сумата на искания откуп, ако средствата трябва да бъдат прехвърлени с помощта на конкретна криптовалута или ако нападателите са готови да демонстрират способността си да декриптират данните, като отключват няколко файла безплатно.

Вместо това бележката в текстовия файл изброява двата имейла, които жертвите могат да използват за комуникация – „ciphercrypt@tuta.io“ и „cipherc@onionmail.org“. Инструкциите в изскачащия прозорец не са много полезни. Те просто съдържат раздел с различни предупреждения, като например да не се преименуват криптираните файлове или да се изпълняват декриптори на трети страни, тъй като това може да повреди данните и да направи файловете неспасяеми.

Изскачащото съобщение е:

ВАШИТЕ ФАЙЛОВЕ СА КРИПИРАНИ
1024
Не се притеснявайте, можете да върнете всичките си файлове!
Ако искате да ги възстановите, пишете на пощата: ciphercrypt@tuta.io ВАШИЯ ID -
Ако не сте отговорили по пощата в рамките на 12 часа, пишете ни на друг имейл: cipherc@onionmail.org
ВНИМАНИЕ!
Препоръчваме ви да се свържете директно с нас, за да избегнете преплащането на агенти
Не преименувайте криптирани файлове.
Не се опитвайте да декриптирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама.

Бележката, намерена в текстовия файл, е:

всичките ви данни са ни заключени
Искате ли да се върнете?
напишете имейл ciphercrypt@tuta.io или cipherc@onionmail.org