BITCOINPAYMENT Ransomware
En variant af Phobos malware-familien, BITCOINPAYMENT Ransomware retter sig mod data fra sine ofre og gør dem ubrugelige via en stærk krypteringsrutine. Operatørerne af truslen vil derefter forsøge at afpresse de berørte brugere eller virksomheder for penge. Det skal bemærkes, at selvom BITCOINPAYMENT Ransomware ikke udviser nogen væsentlige forbedringer eller modifikationer sammenlignet med de andre Phobos- varianter, bør dets ødelæggende potentiale ikke undervurderes.
Generelt følger BITCOINPAYMENT Ransomware den etablerede Phobos-adfærd. Det ændrer navnene på de krypterede filer ved at tilføje en ID-streng, en e-mailadresse og en ny udvidelse til dem. ID-strengen genereres for hvert offer, mens e-mailadressen og udvidelsen er 'cleverhorse@protonmail.com' og '.BITCOINPAYMENT.' Når alle målrettede data er blevet låst af truslen, vil BITCOINPAYMENT Ransomware fortsætte med at slippe to filer på den brudte enhed, kaldet 'info.hta' og 'info.txt'.
Tekstfilen indeholder instruktioner om, hvordan de berørte ofre kan kontakte angriberens Jabber-konto for at modtage yderligere detaljer. Den nævner også, at op til 3 krypterede filer med en samlet størrelse på mindre end 10 MB kan sendes til dekryptering gratis. Den fulde løsesumseddel vises dog i et pop op-vindue, der er genereret fra hta-filen. Her præciserer de cyberkriminelle, at kun betalinger foretaget ved hjælp af Bitcoin kryptovaluta vil blive accepteret. Hvad angår størrelsen af den krævede løsesum, vil den tilsyneladende være baseret på den tid, det tager ofrene at etablere kontakt.
Den fulde tekst af meddelelsen, der vises som et pop op-vindue, er:
' Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mailen cleverhorse@protonmail.com
Skriv dette ID i titlen på din besked -
Hvis der ikke er noget svar fra vores mail, kan du installere Jabber-klienten og skrive til os til støtte for cleverhorse@xmpp.jp
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig værktøjet, der dekrypterer alle dine filer.Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 1-3 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 10 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installationsvejledning til Jabber-klient:
Download jabber (Pidgin)-klienten fra hxxps://pidgin.im/download/windows/
Efter installationen vil Pidgin-klienten bede dig om at oprette en ny konto.
Klik på "Tilføj"
I feltet "Protokol" skal du vælge XMPP
I "Brugernavn" - kom med et hvilket som helst navn
I feltet "domæne" - indtast en hvilken som helst jabber-server, der er mange af dem, for eksempel - exploit.im
Lav et kodeord
Sæt et flueben i bunden af "Opret konto"
Klik på Tilføj
Hvis du valgte "domæne" - exploit.im, så skulle et nyt vindue dukke op, hvor du bliver nødt til at indtaste dine data igen:
Bruger
adgangskode
Du skal følge linket til captchaen (der vil du se de tegn, du skal indtaste i feltet nedenfor)
Hvis du ikke forstår vores Pidgin-klientinstallationsvejledning, kan du finde mange installationsvejledninger på youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installOpmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.Tekstfilen indeholder følgende instruktioner:
Vil du returnere dine filer?Skriv til vores xmpp-konto - cleverhorse@xmpp.jp
Den nemmeste måde - tilmeld dig her hxxps://www.xmpp.jp/signup
Efter download af pidgin klient hxxps://pidgin.im/
Tryk på Tilføj konto, vælg protokol xmpp og indsæt brugernavn fra xmpp.jp hvor er du tilmeldt
Domæne - xmpp.jp
Indtast din adgangskode og tryk på Tilføj
Når du logger ind, tryk Buddies --> Tilføj Buddy-->og i Buddys brugernavn indsæt cleverhorse xmpp.jp
Når du vil se tilføjet konto cleverhorse@xmpp.jp, skal du klikke to gange på den og skrive din besked
Du kan sende os 1-3 testfiler. Den samlede størrelse af filer skal være mindre end 10 Mb (ikke arkiveret),
vi vil dekryptere dem og sende til dig, at vi er rigtige
Hvis du har et problem med xmpp, kan du skrive til vores mail cleverhorse@protonmail.com .'
