Скот.Армстронг Ransomware

До CagedTech през Ransomwareг

Превод на:

Заплахата от злонамерен софтуер Scott.Armstrong е класифицирана от изследователите на infosec като ransomware. Всъщност целта наScott.Armstrong Ransomware е да зарази целевите компютри, да започне процес на криптиране с непробиваем криптографски алгоритъм, който ще заключи файловете, съхранявани там, и след това ще изнуди жертвите си за пари. Всички криптирани файлове ще имат '.LOCKED' добавен към оригиналните им имена като ново файлово разширение. След завършване на криптирането на системата, Scott.Armstrong Ransomware ще пусне две бележки за откуп. Съобщенията, изискващи откуп, ще бъдат доставени като два новосъздадени файла – „HOW_TO_RECOVER_MY_FILES.txt“ и „HOW_TO_RECOVER_MY_FILES.hta“.

Преглед на бележката за откуп

Съобщението във файла HOW_TO_RECOVER_MY_FILES.hta е изключително кратко. Той съдържа ключовия идентификатор, присвоен на жертвата, и инструктира потребителя да намери и прочете инструкциите от другия файл, генериран от заплахата. В основната бележка за откуп се посочва, че засегнатите потребители ще трябва да се свържат с нападателите, за да получат допълнителни подробности за това как да направят плащането на откупа. На жертвите се казва или да изтеглят qTOX клиента и да се свържат с акаунта на хакерите там, или да изпратят съобщение на имейл адреса „Scott.Armstrong@confidesk.com“. Преди да получат откупа, киберпрестъпниците предлагат безплатно дешифриране на до 3 файла. Хвъпреки това избраните файлове трябва да са по-малки от 5MB и не трябва да съдържат важна информация.

Пълният текст на бележката на Scott.Amstrong Ransomware е:

' ВСИЧКИ ВАШИ ФАЙЛОВЕ СА КРИПИРАНИ!

ВСИЧКИ ВАШИ ФАЙЛОВЕ СЕГА ИМАТ .ЗАКЛЮЧЕНО РАЗШИРЕНИЕ!

ЗА ДА ДЕКРИПИРАТЕ ВАШИТЕ ФАЙЛОВЕ, СВЪРЖЕТЕ СЕ С НАС ТУК:

Изтеглете qTox >>> hxxps://tox.chat/download.html
Инсталирайте qTox и направете профил, след като направите това:
Използвайте този TOX-ID (Копиране + Поставяне):

и направете заявка за приятелство, след 5 минути ще се свържете с нашия преговарящ.

Ако искате доказателство, прикачете 2-3 криптирани файла заедно с идентификатора на ключа
(можете да намерите Key-ID в документа How-To-Recover-My-Files на вашия работен плот,)
по-малко от 5Mb всеки, неархивирани и вашите файлове не трябва да съдържат ценна информация, напр
Бази данни, резервни копия, големи Excel листове и т.н.
Ще получите дешифрирани мостри и нашите условия как да получите декодера.
Моля, не забравяйте да напишете името на вашата фирма в темата на вашия имейл!

Като алтернатива, моля, свържете се с преговарящия на следния имейл адрес:

Scott.Armstrong@confidesk.com

Идентификатор на ключ: -

Краткото съобщение във файла 'HOW_TO_RECOVER_MY_FILES.hta' е:

ВСИЧКИ ВАШИ ФАЙЛОВЕ СА КРИПИРАНИ! НАМЕРЕТЕ БЕЛЕЖКАТА „HOW_TO_RECOVER_MY_FILES“ НА РАБОТА ЗА ПОВЕЧЕ ИНСТРУКЦИИ!
Идентификатор на ключ: '