BITCOINPAYMENT Ransomware
Una variant de la família de programari maliciós Phobos, el ransomware BITCOINPAYMENT s'adreça a les dades de les seves víctimes i les fa inutilitzables mitjançant una rutina de xifratge forta. Aleshores, els operadors de l'amenaça intentaran extorsionar els usuaris o empreses afectats per diners. Cal tenir en compte que, tot i que el ransomware BITCOINPAYMENT no presenta millores o modificacions significatives en comparació amb les altres variants de Phobos , no s'ha de subestimar el seu potencial destructiu.
En general, el ransomware BITCOINPAYMENT segueix el comportament establert de Phobos. Modifica els noms dels fitxers xifrats afegint-hi una cadena d'identificació, una adreça de correu electrònic i una nova extensió. La cadena d'identificació es genera per a cada víctima, mentre que l'adreça de correu electrònic i l'extensió són "cleverhorse@protonmail.com" i ".BITCOINPAYMENT". Quan totes les dades de destinació hagin estat bloquejades per l'amenaça, el ransomware BITCOINPAYMENT procedirà a deixar caure dos fitxers al dispositiu trencat, anomenats "info.hta" i "info.txt".
El fitxer de text conté instruccions sobre com les víctimes afectades poden contactar amb el compte Jabber de l'atacant per rebre més detalls. També esmenta que es poden enviar fins a 3 fitxers xifrats amb una mida total inferior a 10 MB per ser desxifrats de forma gratuïta. Tanmateix, la nota de rescat completa es mostra en una finestra emergent generada a partir del fitxer hta. Aquí, els ciberdelinqüents aclareixen que només s'acceptaran els pagaments fets amb la criptomoneda Bitcoin. Pel que fa a la mida del rescat demanat, sembla que es basarà en el temps que triguen les víctimes a establir contacte.
El text complet del missatge que es mostra com a finestra emergent és:
' Tots els vostres fitxers s'han xifrat!
Tots els vostres fitxers s'han xifrat a causa d'un problema de seguretat amb el vostre PC. Si voleu restaurar-los, escriu-nos al correu electrònic cleverhorse@protonmail.com
Escriu aquest identificador al títol del teu missatge -
Si no hi ha resposta del nostre correu, podeu instal·lar el client Jabber i escriure'ns per donar suport a cleverhorse@xmpp.jp
Heu de pagar pel desxifrat en Bitcoins. El preu depèn de la rapidesa amb què ens escriviu. Després del pagament, us enviarem l'eina que desxifrarà tots els vostres fitxers.Desxifrat gratuït com a garantia
Abans de pagar, ens podeu enviar fins a 1-3 fitxers per al desxifrat gratuït. La mida total dels fitxers ha de ser inferior a 10 Mb (no arxivats) i els fitxers no han de contenir informació valuosa. (bases de dades, còpies de seguretat, fulls excel grans, etc.)Com obtenir Bitcoins
La manera més fàcil de comprar bitcoins és el lloc LocalBitcoins. Cal registrar-se, fer clic a "Comprar bitcoins" i seleccionar el venedor per mètode de pagament i preu.
hxxps://localbitcoins.com/buy_bitcoins
També podeu trobar altres llocs per comprar Bitcoins i guia per a principiants aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Instruccions d'instal·lació del client Jabber:
Baixeu el client jabber (Pidgin) des de hxxps://pidgin.im/download/windows/
Després de la instal·lació, el client Pidgin us demanarà que creeu un compte nou.
Feu clic a "Afegeix"
Al camp "Protocol", seleccioneu XMPP
A "Nom d'usuari" - trobeu qualsevol nom
Al camp "domini": introduïu qualsevol servidor jabber, n'hi ha molts, per exemple: exploit.im
Crea una contrassenya
A la part inferior, marqueu "Crea un compte"
Feu clic a afegir
Si heu seleccionat "domini" - exploit.im, hauria d'aparèixer una nova finestra en la qual haureu de tornar a introduir les vostres dades:
Usuari
contrasenya
Haureu de seguir l'enllaç al captcha (allà veureu els caràcters que heu d'introduir al camp de sota)
Si no enteneu les instruccions d'instal·lació del client Pidgin, podeu trobar molts tutorials d'instal·lació a youtube: hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAtenció!
No canvieu el nom dels fitxers xifrats.
No intenteu desxifrar les vostres dades amb programari de tercers, pot provocar una pèrdua permanent de dades.
El desxifrat dels vostres fitxers amb l'ajuda de tercers pot provocar un augment del preu (afegeixen la seva tarifa a la nostra) o podeu convertir-vos en víctima d'una estafa.El fitxer de text conté les instruccions següents:
Voleu tornar els vostres fitxers? Escriu al nostre compte xmpp: cleverhorse@xmpp.jp
La manera més senzilla: registreu-vos aquí hxxps://www.xmpp.jp/signup
Després de descarregar el client pidgin hxxps://pidgin.im/
Premeu Afegeix un compte, trieu el protocol xmpp i poseu el nom d'usuari de xmpp.jp on us registreu
Domini - xmpp.jp
Poseu la vostra contrasenya i premeu afegir
Quan inicieu sessió, premeu Buddies --> Afegeix Buddy --> i al nom d'usuari de Buddys poseu cleverhorse xmpp.jp
Després de veure el compte afegit cleverhorse@xmpp.jp, feu-hi clic dues vegades i escriviu el vostre missatge
Podeu enviar-nos 1-3 fitxers de prova. La mida total dels fitxers ha de ser inferior a 10 Mb (no arxivats),
els desxifrarem i us enviarem que som reals
Si teniu un problema amb xmpp, podeu escriure al nostre correu electrònic cleverhorse@protonmail.com .'
