Изнудващ Ransomware

Extortionist Ransomware е нов, заплашителен вариант от семейството на злонамерен софтуер VoidCrypt. Целта му е да проникне в целевите системи и да стартира силен алгоритъм за криптиране. В резултат на това жертвите ще загубят достъп до повечето си лични и бизнес файлове. Документи, архиви, бази данни, снимки, снимки, PDF файлове и други ще бъдат направени неизползваеминапълно. След това заплахите, отговорни за освобождаването на изнудващия Ransomware, ще изнудват жертвите си за пари в замяна на потенциалното възстановяване на заключените данни.

Една от отличителните характеристики на заплахата е специфичното разширение, което използва, за да маркира всеки заключен файл. При криптиране на файл от целевите файлови типове, злонамереният софтуер ще добави към оригиналното име на файла имейл адрес, уникален идентификационен низ и ново разширение. Имейл адресът е „openthefile@mailfence.com“, докато разширението е „.Extortionist“. Бележката за откуп за заплахата се прехвърля върху компрометираните устройства като текстов файл с име „Decrypt-me.txt“.

Преглед на изискванията

В инструкциите на хакерите се посочва, че първото действие на техните жертви трябва да бъде да намерят конкретен файл с име 'prvkey*.txt.key.' Очевидно файлът съдържа важен ключ за декриптиране и без него дори нападателите няма да могат да възстановят засегнатите данни. Местоположението по подразбиране на файла е C:\ProgramData\ и вместо това знакът * може да бъде число. Бележката също така пояснява, че откупът ще трябва да бъде платен с помощта на криптовалутата Bitcoin.

Ако на бележката може да се има доверие, жертвите също могат да изпратят няколко заключени файла, които да бъдат декриптирани безплатно.Избраните файлове обаче трябва да са по-малки от 1MB и не трябва да съдържат важна информация. Като канали за комуникация са предоставени два имейла – „openthefile@mailfence.com“ и „openthefile@tutanota.com“.

Пълният текст на бележката на изнудващия Ransomware е:

' Всичките ви файлове са криптирани

Трябва да платите, за да си върнете файловете

1-Отидете в папката C:\ProgramData\ и ни изпратете prvkey*.txt.key файл, * може да е число (като това: prvkey3.txt.key)
2-Можете да изпратите файл малко от 1mb за тест за декриптиране, за да ни се доверите, но тестовият файл не трябва да съдържа ценни данни
3-Плащането трябва да бъде с биткойн
4-Смяната на Windows без запазване на prvkey.txt.key файл ще доведе до постоянна загуба на данни

Нашият имейл:openthefile@mailfence.com
в случай на липса на отговор:openthefile@tutanota.com '