Магически рансъмуер
Magic Ransomware е класифициран като вариант на фамилията Phobos Ransomware. Magic Ransomware не се е променил много в сравнение с други членове на семейството на Phobos Ransomware . Въпреки това потенциалът му да причини много щети на потребителите и машините, които заразява, все още е активен и Magic Ransomware все още е мощна заплаха, която може ефективно да предпази потребителите от собствените им компютри. Използвайки неразбиваем алгоритъм за криптиране, Magic Ransomware ще направи почти всички файлове, съхранявани на компрометирания компютър, недостъпни и неизползваеми. След това Magic Ransomware ще се опита да изнуди своите жертви, като обещае да обмени ключа за декриптиране, необходим за освобождаване на заключените данни срещу такса за откуп.
Magic Ransomware ще промени драстично имената на засегнатите файлове. Той ще добави ново файлово разширение, „.magic“, към оригиналното име на всеки шифрован файл. Имейл адресите, които трябва да се използват за връзка с хората зад Magic Ransomware са „midnight@email.tg и dark_day@cyberfear.com“. Той също така дава възможност за използване на Tox чат. Веднага щом процедурата за криптиране е готова, Magic Ransomware пуска своята бележка за откуп с инструкции към жертвите. Съобщението има две версии – по-кратка, съдържаща се в текстови файлове с име „info.txt“ и по-разширен набор от инструкции, info.hta, които ще се показват в изскачащ прозорец.
Точната сума, поискана от хакерите, контролиращи Magic Ransomware, не се споменава, но се казва, че сумата ще зависи от това колко бързо жертвите инициират комуникация. Жертвите на Magic Ransomware имат право да прикачат към съобщенията си три маловажни файла, които не надвишават общия размер на 4 MB. Хакерите ще дешифрират тези файлове безплатно, вероятно като демонстрация на способността им да възстановяват всички заключени данни. Все още не се препоръчва да участвате в преговори с киберпрестъпници, тъй като това може да изложи потребителите на допълнителни заплахи за сигурността.
Текстът, показан във файла „info.hta“, създаден от Magic Ransomware, е:
„Всички ваши файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл midnight@email.tg
Напишете този идентификатор в заглавието на вашето съобщение
В случай на липса на отговор до 24 часа, пишете ни на този имейл:dark_day@cyberfear.com
Или ни пишете на TOX messenger: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A
Можете да изтеглите TOX messenger тук hxxps://tox.chat/
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.
Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 3 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.Съдържанието на файла 'info.txt' е:
!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: midnight@email.tg.
Ако не отговорим до 24 часа, изпратете имейл на този адрес: dark_day@cyberfear.com
Или ни пишете на TOX messenger: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A'
