Unknown Ransomware

Изследователите са открили нов вариант на ransomware, който се проследява като Unknown Ransomware. Този заплашителен софтуер криптира файлове и променя имената им, добавяйки ID на жертвата, имейл адреса „masterfix@tuta.io“ и разширението „.unknown“ към тях. Неизвестният рансъмуер също създава две бележки за откуп под формата на файлове „info.hta“ и „info.txt“. Неизвестният рансъмуер принадлежи към фамилията зловреден софтуер Phobos .

Преглед на исканията на Unknown рансъмуер

Unknown рансъмуер криптира данните на жертвите и изисква плащане на откуп в замяна на дешифриране. На жертвите се казва да се свържат със заплахите чрез имейл ('masterfix@tuta.io') или Telegram ('@Stop_24'), за да получат допълнителни инструкции. Основната бележка за откупа („info.hta“) гласи, че цената на декриптирането на данните зависи от това колко бързо жертвите се свързват със заплахата. Той също така предупреждава да не се опитвате да дешифрирате файлове с помощта на софтуер на трети страни, тъй като това може да доведе до загуба на вашите данни за постоянно. Жертвите имат възможност да изпратят до пет файла за безплатно дешифриране.

Как заплахи като Unknown рансъмуер заразяват устройства?

Един от най-предпочитаните методи, използвани за разпространение на рансъмуер, е чрез оръжейни прикачени файлове към имейл. Тези имейл съобщения често съдържат изпълними файлове със зловреден софтуер или повредени макроси, вградени в документи, за да заразят системата ви, когато жертвите ги отворят.

Изтегляния чрез изтегляне или злонамерена реклама също могат да се използват като начин за разпространение на заплахи за ransomware. Drive-by изтеглянията позволяват на хакерите дистанционно да инсталират злонамерен софтуер на нищо неподозиращи компютри на потребители без тяхно знание или съгласие. Те често използват изскачащи прозорци или пренасочвания, които принуждават потребителите да изтеглят скрит рансъмуер в своите системи, без изобщо да посетят уебсайт, да кликнат върху прикачен файл към имейл или да се съгласят с какъвто и да е вид подкана за изтегляне.

Бележката за откуп се показва в изскачащ прозорец и гласи:

„Всички ваши файлове са криптирани!
Всички ваши файлове са криптирани поради проблем със сигурността на вашия компютър. Ако искате да ги възстановите, пишете ни на имейл masterfix@tuta.io
Напишете този идентификатор в заглавието на вашето съобщение -
Ако не получите отговор до 24 часа, моля, свържете се с нас чрез акаунт в Telegram.org: @Stop_24
Трябва да платите за дешифриране в биткойни. Цената зависи от това колко бързо ни пишете. След плащане ще ви изпратим инструмента, който ще дешифрира всичките ви файлове.
Безплатно дешифриране като гаранция
Преди плащане можете да ни изпратите до 5 файла за безплатно дешифриране. Общият размер на файловете трябва да е по-малък от 4Mb (неархивирани) и файловете не трябва да съдържат ценна информация. (бази данни, резервни копия, големи Excel листове и т.н.)
Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.'

Съобщението с искане на откуп, доставено като текстов файл, гласи:

'!!!Всички ваши файлове са криптирани!!!
За да ги дешифрирате, изпратете имейл на този адрес: masterfix@tuta.io.
Ако не отговорим до 24 часа, изпратете съобщение до telegram: @Stop_24'