Cip Ransomware
Výzkumníci společnosti Infosec identifikovali další destruktivní ransomwarovou hrozbu, která je součástí rodiny ransomwaru Dharma. Hrozba, nazývaná Cip Ransowmare, úzce sleduje typické chování Dharmy, aniž by vykazovala jakékoli významné odchylky. Škody, které může způsobit infikovaným počítačovým systémům, však nelze podceňovat.
Cip využívá silný šifrovací algoritmus k uzamčení téměř všech souborů svých obětí. Dotčeným uživatelům bude zabráněno v přístupu nebo jakkoli používat jejich dokumenty, PODF, archivy, databáze, obrázky, fotografie, audio a video soubory atd. Během procesu šifrování Cip Ransomware také upraví názvy cílových souborů. Hrozba se drží obvyklého vzoru pojmenování Dharmy tím, že nejprve připojí řetězec znaků, který funguje jako ID oběti. Dále Cip připojí e-mailovou adresu řízenou jeho operátory. Nakonec bude '.cip' přidána jako nová přípona souboru.
Obětem budou ponechány dvě výkupné obsahující pokyny od útočníků. Jeden bude umístěn na Plochu napadeného systému jako textový soubor s názvem „info.txt“. Druhá poznámka se zobrazí v novém vyskakovacím okně.
Cip Ransomware's Demands
Cílem hrozby je vymámit peníze výměnou za obnovu dat oběti. Obě jeho poznámky o výkupném však postrádají mnoho zásadních podrobností pozorovaných u jiných ransomwarových hrozeb. Ve zprávách se nezmiňuje výše požadovaného výkupného, zda je třeba prostředky převést pomocí konkrétní kryptoměny nebo zda jsou útočníci ochotni prokázat svou schopnost dešifrovat data odemknutím několika souborů zdarma.
Místo toho jsou v poznámce v textovém souboru uvedeny dva e-maily, které mohou oběti používat ke komunikaci – 'ciphercrypt@tuta.io' a 'cipherc@onionmail.org.' Pokyny ve vyskakovacím okně nejsou příliš užitečné. Jednoduše obsahují sekci s různými varováními, jako je například nepřejmenování zašifrovaných souborů nebo spuštění dešifrovacích nástrojů třetích stran, protože by to mohlo poškodit data a soubory by se staly nezachránitelnými.
Vyskakovací zpráva je:
VAŠE SOUBORY JSOU ŠIFROVANÉ
1024
Nebojte se, všechny soubory můžete vrátit!
Pokud je chcete obnovit, napište na mail: ciphercrypt@tuta.io VAŠE ID -
Pokud neodpovíte poštou do 12 hodin, napište nám na jiný mail: cipherc@onionmail.org
POZORNOST!
Doporučujeme, abyste nás kontaktovali přímo, abyste se vyhnuli přeplácení agentů
Nepřejmenovávejte šifrované soubory.
Nepokoušejte se dešifrovat data pomocí softwaru třetích stran, může to způsobit trvalou ztrátu dat.
Dešifrování vašich souborů pomocí třetích stran může způsobit zvýšení ceny (přidají svůj poplatek k našemu) nebo se můžete stát obětí podvodu.
Poznámka v textovém souboru je:
všechna vaše data nám byla uzamčena
Chcete se vrátit?
napište email ciphercrypt@tuta.io nebo cipherc@onionmail.org
