Cryptonite Ransomware

Заплахата от Cryptonite Ransomware може да не е напълно уникална – изследователите на infosec потвърдиха, че това е вариант на Chaos Ransomware , но това не я прави по-малко заплашителна. След като бъде изпълнена на заразените компютри, заплахата ще стартира силна рутинна процедура за криптиране, която ще превърне повечето от данните, съхранявани там, в недостъпно и неизползваемо състояние. Файлове като документи, PDF файлове, изображения, снимки, архиви, бази данни и много други ще бъдат засегнати и възстановяването без познаване на правилните ключове за дешифриране би било практически невъзможно.

За разлика от повечето заплахи за ransomware, Cryptonite не използва последователен символен низ, за да маркира файловете, които криптира. Вместо това ще генерира различен низ от 4 знака и ще го добави към оригиналните имена на файлове. Фонът на работния плот на пробитите устройства ще бъде заменен с нов, съдържащ кратко съобщение на френски. Бележката за откуп, пусната от заплахата като текстов файл с име „lisezmoi.txt“. също ще бъде написана изцяло на френски език.

Преводът на съобщението на Cryptonite, изискващо откуп, разкрива, че неговите оператори се опитват да изнудват 0,51 BTC (биткойни) от своите жертви. Според бележката откупът трябва да е равен точно на $13 457,65, но това вече не е точно. Поради силно променливия характер на криптовалутата, при текущия обменен курс, откупът е на стойност приблизително $10 500.

Бележката за откуп предупреждава жертвите за заплахата, че имат 24 часа, за да изпратят парите на предоставения адрес на крипто портфейла. Ако отнеме повече време от това, те ще започнат да губят 2 криптирани файла на всеки 24 часа. Освен това, след 7 дни размерът на откупа ще бъде увеличен до $16 000. Един единствен имейл адрес - 'decrypt5058@proton.me,' е единственият предоставен начин за установяване на комуникация с киберпрестъпниците.

Пълният текст на бележката на френски е:

„Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE et vous ne serez pas capable de décryptés vos fichiers sans la clé de décryptage.

Pour obtenir la clé de décryptage de vos fichiers et supprimer le virus veuillez nous contacter sur notre adresse emails ci-dessous.

Контакт: decrypt5058@proton.me

Vous devez payer une rançon et cette rançon ne peut être payée que en bitcoin à l'adresse indiqué ci-dessous.

Montant: 13457,65 $ = 0,51 btc
Адрес: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Chaque 24h deux fichiers seront sélectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ à 16000$

Chaque fichier que vous éssayerez de décrypter sans la clé endommagera le fichier et vous le perdrez à jamais.'