Lizard (Phobos) Ransomware

Els experts en ciberseguretat han descobert una altra amenaça de programari maliciós viciós basada en la coneguda família Phobos Ransomware . L'amenaça s'anomena Lizard Ransomware i es pot utilitzar per bloquejar les dades emmagatzemades en dispositius violats. L'algoritme de xifratge prou fort garanteix que la restauració dels fitxers afectats sense la clau de desxifrat correcta no serà pràcticament factible.

Quan el Lizard Ransomware xifra un fitxer, també canvia dràsticament el nom original d'aquest fitxer. Els usuaris afectats notaran que els seus fitxers ara tenen una cadena d'identificació, una adreça de correu electrònic i una nova extensió de fitxer annexa als seus noms. La cadena d'identificació es genera per a cada víctima diferent, mentre que l'adreça de correu electrònic utilitzada per l'amenaça és "r3wuq@tuta.io". L'extensió del fitxer és '.LIZARD.' Pel que fa a la nota de rescat de l'amenaça, el Lizard Ransomware deixa caure dos missatges diferents. Un es mostrarà en una finestra emergent creada a partir d'un fitxer 'info.hta', mentre que l'altre es troba dins d'un fitxer de text anomenat 'info.txt'.

Visió general de Ransom Note

El fitxer de text conté només un parell de frases. Principalment indica a les víctimes de l'amenaça que estableixin contacte enviant un missatge a 'r3wuq@tuta.io' o, en cas que no hi hagi resposta després de 24 hores, haurien d'utilitzar un compte de Telegram a '@Online7_365'. El missatge principal que exigeix el rescat és el que es mostra com a finestra emergent. Revela que els atacants només acceptaran pagaments fets amb la criptomoneda Bitcoin. També afirma que els actors de l'amenaça estan disposats a desxifrar fins a 5 fitxers de forma gratuïta. Tanmateix, els fitxers escollits no han de contenir cap informació important i no han de superar els 4 MB de mida total.

El missatge que es troba al fitxer de text és:

' !!!Tots els vostres fitxers estan xifrats!!!
Per desxifrar-los, envieu un correu electrònic a aquesta adreça: r3wuq@tuta.io.
Si no responem en 24h., envia un missatge a telegram: @Online7_365 '

La nota de rescat que mostra Lizard Ransomware en una finestra emergent és:

' Tots els vostres fitxers s'han xifrat!
Tots els vostres fitxers s'han xifrat a causa d'un problema de seguretat amb el vostre ordinador. Si voleu restaurar-los, escriu-nos al correu electrònic r3wuq@tuta.io
Escriu aquest identificador al títol del teu missatge -
Si no rebeu una resposta en 24 hores, poseu-vos en contacte amb nosaltres mitjançant el compte de Telegram.org: @Online7_365
Heu de pagar pel desxifrat en Bitcoins. El preu depèn de la rapidesa amb què ens escriviu. Després del pagament, us enviarem l'eina que desxifrarà tots els vostres fitxers.
Desxifrat gratuït com a garantia
Abans de pagar, ens podeu enviar fins a 5 fitxers per al desxifrat gratuït. La mida total dels fitxers ha de ser inferior a 4 Mb (no arxivats) i els fitxers no han de contenir informació valuosa. (bases de dades, còpies de seguretat, fulls excel grans, etc.)
Com obtenir Bitcoins
La manera més fàcil de comprar bitcoins és el lloc LocalBitcoins. Cal registrar-se, fer clic a "Comprar bitcoins" i seleccionar el venedor per mètode de pagament i preu.
hxxps://localbitcoins.com/buy_bitcoins
També podeu trobar altres llocs per comprar Bitcoins i guia per a principiants aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenció!
No canvieu el nom dels fitxers xifrats.
No intenteu desxifrar les vostres dades amb programari de tercers, pot provocar una pèrdua permanent de dades.
El desxifrat dels vostres fitxers amb l'ajuda de tercers pot provocar un augment del preu (afegeixen la seva tarifa a la nostra) o podeu convertir-vos en víctima d'una estafa. '