Pyphyfe Ransomware

До CagedTech през Ransomwareг

Превод на:

Изследователите на Infosec са идентифицирали нова заплаха за откуп, която се крие в дивата природа. Проследявана като Pyphyfe Ransomware, заплахата има за цел да проникне в компютрите на жертвите, да ангажира силен процес на криптиране и да направи съхраняваните на машината данни недостъпни и неизползваеми. Подобно на повечето ransomware, нападателите след това се опитват да изнудят засегнатите потребители за пари в замяна на предоставяне на ключа за декриптиране, необходим за възстановяването на данните.

Като част от вредното си поведение, заплахата маркира и всеки заключен файл. Това прави, като добавя '.pyphyfe' като ново разширение към оригиналните имена на засегнатите файлове. Когато всички целеви типове файлове са криптирани, зловредният софтуер създава текстов файл с име „КАК ДА ВЪЗСТАНОВИМ ВАШИТЕ ФАЙЛОВЕ.TXT". Файлът съдържа бележка за откуп с инструкции за жертвите. Трябва да се отбележи, че Pyphyfe Ransomware е класифициран като вариант от семейството на Snatch Ransomware.

Подробности за бележката за откуп

Бележката за откуп не губи време и инструктира жертвите на Pyphyfe да установят контакт с нападателитенезабавно. В съобщението се споменават два имейл адреса, които могат да се използват като канали за комуникация – „JohnDealinger@seznam.cz" и „JohnasassistantIT@seznam.cz". Бележката не разкрива сумата, която хакерите искат да бъдат платени.

Очевидно жертвите също имат право да изпращат до 3 файла, които да бъдат декриптирани безплатно.Избраните файлове обаче трябва да отговарят на две изисквания. Общият размер на неархивирания файл трябва да е по-малък от 1MB и че файловете не трябва да съдържат никаква важна информация. Бележката също така предупреждава потребителите да не преименуват криптираните файлове и да не изключват NAS (Network-Attached Storage) устройства, тъй като това може да доведе до трайни повреди.

Пълният текст на бележката е:

' Здравейте!

Всичките ви файлове са криптирани!
Изпратете ми имейл, ако искате да си върнете файловете - ще го направя много бързо!
Свържете се с мен по имейл:

JohnDealinger@seznam.cz или JohnasassistantIT@seznam.cz

Темата трябва да съдържа разширение за криптиране или името на вашата компания!
Не преименувайте криптирани файлове, може да ги загубите завинаги.
Може да сте жертва на измама. Безплатно декриптиране като гаранция.
Изпратете ни до 3 файла за безплатно декриптиране.
Общият размер на файла трябва да бъде не повече от 1 MB! (не е в архива) и файловете не трябва да съдържат ценна информация. (бази данни, архиви, големи електронни таблици на Excel и др.)
!!! Не изключвайте и не рестартирайте NAS оборудването. Това ще доведе до загуба на данни !!!

За да се свържете с нас, ви препоръчваме да създадете имейл адрес на protonmail.com или tutanota.com
Защото gmail и други публични програми за електронна поща могат да блокират нашите съобщения!

Ако не получавате отговор от нас дълго време, проверете папката за спам. '