BITCOINPAYMENT Ransomware
BITCOINPAYMENT Ransomware, varianta rodiny malwaru Phobos, se zaměřuje na data svých obětí a činí je nepoužitelnými prostřednictvím silného šifrovacího postupu. Provozovatelé hrozby se pak pokusí vymámit peníze z postižených uživatelů nebo společností. Je třeba poznamenat, že ačkoliv BITCOINPAYMENT Ransomware nevykazuje žádná významná vylepšení nebo úpravy ve srovnání s ostatními variantami Phobosu , jeho destruktivní potenciál by neměl být podceňován.
Obecně platí, že BITCOINPAYMENT Ransomware sleduje zavedené chování Phobos. Upravuje názvy zašifrovaných souborů přidáním řetězce ID, e-mailové adresy a nové přípony. Řetězec ID je vygenerován pro každou oběť, zatímco e-mailová adresa a přípona jsou 'cleverhorse@protonmail.com' a '.BITCOINPAYMENT'. Když jsou všechna cílená data uzamčena hrozbou, BITCOINPAYMENT Ransomware zahodí dva soubory na napadené zařízení, pojmenované „info.hta“ a „info.txt“.
Textový soubor obsahuje pokyny, jak mohou postižené oběti kontaktovat útočníkův účet Jabber a získat další podrobnosti. Zmiňuje také, že lze zdarma odeslat k dešifrování až 3 zašifrované soubory o celkové velikosti menší než 10 MB. Úplná poznámka o výkupném se však zobrazí ve vyskakovacím okně vygenerovaném ze souboru hta. Zde kyberzločinci objasňují, že budou přijímány pouze platby provedené pomocí kryptoměny Bitcoin. Pokud jde o výši požadovaného výkupného, bude se zřejmě odvíjet od času, který oběti zabere navázání kontaktu.
Celý text zprávy zobrazené jako vyskakovací okno je:
' Všechny vaše soubory byly zašifrovány!
Všechny vaše soubory byly zašifrovány kvůli bezpečnostnímu problému ve vašem počítači. Pokud je chcete obnovit, napište nám na e-mail chytrýhorse@protonmail.com
Napište toto ID do názvu vaší zprávy -
Pokud z našeho mailu nepřijde žádná odpověď, můžete si nainstalovat klienta Jabber a napsat nám na podporu smarthorse@xmpp.jp
Za dešifrování musíte platit v bitcoinech. Cena závisí na tom, jak rychle nám napíšete. Po zaplacení vám zašleme nástroj, který dešifruje všechny vaše soubory.Bezplatné dešifrování jako záruka
Před zaplacením nám můžete poslat až 1-3 soubory k bezplatnému dešifrování. Celková velikost souborů musí být menší než 10 Mb (nearchivované) a soubory by neměly obsahovat cenné informace. (databáze, zálohy, velké excelové listy atd.)Jak získat bitcoiny
Nejjednodušší způsob, jak koupit bitcoiny, je stránka LocalBitcoins. Musíte se zaregistrovat, kliknout na „Koupit bitcoiny“ a vybrat prodejce podle způsobu platby a ceny.
hxxps://localbitcoins.com/buy_bitcoins
Zde také najdete další místa, kde si můžete koupit bitcoiny a průvodce pro začátečníky:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Pokyny k instalaci klienta Jabber:
Stáhněte si klienta jabber (Pidgin) z hxxps://pidgin.im/download/windows/
Po instalaci vás klient Pidgin vyzve k vytvoření nového účtu.
Klikněte na "Přidat"
V poli "Protokol" vyberte XMPP
V "Uživatelské jméno" - vymyslete libovolné jméno
Do pole "doména" - zadejte jakýkoli jabber-server, je jich hodně, například - exploit.im
Vytvořit heslo
V dolní části zaškrtněte „Vytvořit účet“
Klikněte na přidat
Pokud jste vybrali "doménu" - exploit.im, mělo by se objevit nové okno, ve kterém budete muset znovu zadat svá data:
Uživatel
Heslo
Budete muset následovat odkaz na captcha (tam uvidíte znaky, které musíte zadat do pole níže)
Pokud nerozumíte našim pokynům k instalaci klienta Pidgin, můžete najít mnoho instalačních tutoriálů na youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installPozornost!
Nepřejmenovávejte šifrované soubory.
Nepokoušejte se dešifrovat data pomocí softwaru třetích stran, může to způsobit trvalou ztrátu dat.
Dešifrování vašich souborů pomocí třetích stran může způsobit zvýšení ceny (přidají svůj poplatek k našemu) nebo se můžete stát obětí podvodu.Textový soubor obsahuje následující pokyny:
Chcete vrátit své soubory? Napište nám na náš xmpp účet - smarthorse@xmpp.jp
Nejjednodušší způsob - zaregistrujte se zde hxxps://www.xmpp.jp/signup
Po stažení pidgin klienta hxxps://pidgin.im/
Stiskněte Přidat účet, vyberte protokol xmpp a zadejte uživatelské jméno z xmpp.jp, kde se přihlašujete
Doména - xmpp.jp
Zadejte své heslo a stiskněte přidat
Když se přihlásíte, stiskněte Buddies --> Add Buddy--> a do uživatelského jména Buddys vložte Smarthorse xmpp.jp
Poté, co uvidíte přidaný účet smarthorse@xmpp.jp, dvakrát na něj klikněte a napište svou zprávu
Můžete nám poslat 1-3 testovací soubory. Celková velikost souborů musí být menší než 10 Mb (nearchivované),
dešifrujeme je a pošleme vám, že jsme skuteční
Máte-li problém s xmpp, můžete nám napsat na náš mail smarthorse@protonmail.com .'