Lsas Ransomware

Изглежда, че киберпрестъпниците все още използват прословутия Dharma Ransomware, за да създават нови заплахи за злонамерен софтуер, за да заразят компютрите на потребителите. Последният вариант, който ще бъде създаден от това семейство злонамерен софтуер, се проследява от експертите на infosec като Lsas Ransomware. Въпреки, че е вариант без никакво значително подобрение спрямо друга Дхарма варианти, способността на LSAS рансъмуер да причини разрушаване не трябва да се подценява.

След като бъде внедрен в компрометираните системи, Lsas Ransomware ще започне силен процес на криптиране, който ще заключи множество файлове, съхранявани там. Широка гама от типове файлове ще бъдат направени неизползваеми. Жертвите вече няма да имат достъп до своите документи, архиви, бази данни, PDF файлове и др.

По време на процеса на криптиране всеки засегнат файл ще има уникален идентификационен низ, имейл адрес и ново файлово разширение, добавено към оригиналното му име. Конкретният имейл, използван от заплахата, е „sekurlsa@ml1.net", докато разширението на файла е „.lsas". След като изпълни своята заплашителна задача, заплахата ще пусне две съобщения с искане за откуп от нападателите.

Подробности за бележката за откуп

Следвайки типичното поведение на Дхарма, Lsas Ransowmare също доставя две различни бележки за откуп на своите жертви. Първо, заплахата създава текстов файл с име „FILES ENCRYPTED.txt". Той съдържа само няколко изречения, които насочват потребителите към контакт с двата имейл адреса на хакерите - 'sekurlsa@ml1.net' и 'sekurlsa@mm.st'.Основният набор от инструкции обаче ще бъде представен в изскачащ прозорец. Той разкрива, че плащането на откуп трябва да бъде извършено с помощта на криптовалутата Bitcoin и на потребителите е разрешено да изпратят един файл, който да бъде декриптиран безплатно.Избраният файл обаче трябва да е по-малък от 1MB и не трябва да съдържа важни данни.

Пълният текст, показан в изскачащия прозорец, е:

' Всичките ви файлове са криптирани!
Всичките ви файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл sekurlsa@ml1.net
Напишете този ID в заглавието на вашето съобщение 1E857D00
В случай на липса на отговор в рамките на 24 часа, пишете ни на тези имейли: sekurlsa@mm.st
Трябва да платите за декриптиране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента за декриптиране, който ще декриптира всичките ви файлове.
Безплатно декриптиране като гаранция
Преди да платите можете да ни изпратите до 1 файл за безплатно декриптиране. Общият размер на файловете трябва да е по-малък от 1 Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, архивни копия, големи Excel листове и др.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни" и да изберете продавача по начин на плащане и цена.
https://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама. '

Текстовият файл съдържа следното съобщение:

' всичките ви данни са ни заключени
Искате ли да се върнете?
'Напишете имейл sekurlsa@ml1.net или sekurlsa@mm.st '