Lizard (Phobos) Ransomware

Експертите по киберсигурност разкриха друга злонамерена заплаха от злонамерен софтуер, базирана на прословутото семейство Phobos Ransomware . Заплахата се нарича Lizard Ransomware и може да се използва за заключване на данните, съхранявани на взломени устройства. Достатъчно силният алгоритъм за криптиране гарантира, че възстановяването на засегнатите файлове без правилния ключ за декриптиране няма да бъде практически осъществимо.

Когато Lizard Ransomware криптира файл, той също променя драстично оригиналното име на този файл. Засегнатите потребители ще забележат, че техните файлове вече имат идентификационен низ, имейл адрес и ново файлово разширение, добавени към имената им. Идентификационният низ се генерира за всяка различна жертва, докато имейл адресът, използван от заплахата, е „r3wuq@tuta.io“. Разширението на файла е '.LIZARD.' Що се отнася до бележката за откуп на заплахата, Lizard Ransomware пуска две различни съобщения. Единият ще бъде показан в изскачащ прозорец, създаден от файл „info.hta“, докато другият се съдържа в текстов файл с име „info.txt“.

Преглед на бележката за откуп

Текстовият файл съдържа само няколко изречения. Той основно инструктира жертвите на заплахата да установят контакт чрез съобщение на „r3wuq@tuta.io“ или, в случай че няма отговор след 24 часа, те трябва да използват акаунт в Telegram на „@Online7_365“. Основното съобщение, изискващо откуп, е това, което се показва като изскачащ прозорец. Той разкрива, че нападателите ще приемат само плащания, направени с помощта на криптовалутата Bitcoin. Също така се посочва, че участниците в заплахата са готови да дешифрират до 5 файла безплатно. Избраните файлове обаче не трябва да съдържат важна информация и не трябва да надвишават 4MB в общ размер.

Съобщението, намерено в текстовия файл е:

' !!!Всичките ви файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: r3wuq@tuta.io.
Ако не отговорим в рамките на 24 часа, изпратете съобщение до телеграма: @Online7_365 '

Бележката за откуп, показана от Lizard Ransomware в изскачащ прозорец, е:

' Всичките ви файлове са криптирани!
Всичките ви файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейла r3wuq@tuta.io
Напишете този ID в заглавието на вашето съобщение -
Ако не получите отговор в рамките на 24 часа, моля, свържете се с нас чрез акаунт в Telegram.org: @Online7_365
Трябва да платите за декриптиране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще декриптира всичките ви файлове.
Безплатно декриптиране като гаранция
Преди да платите можете да ни изпратите до 5 файла за безплатно декриптиране. Общият размер на файловете трябва да бъде по-малък от 4 Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, архивни копия, големи Excel листове и др.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да декриптирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама. '