Cip Ransomware

Infosec-forskere har identificeret en anden destruktiv ransomware-trussel, der er en del af Dharma ransomware-familien. Kaldet Cip Ransowmare, truslen følger nøje den typiske Dharma-adfærd uden at udvise væsentlige afvigelser. Skaden, det kan forårsage på de inficerede computersystemer, skal dog ikke undervurderes.

Cip bruger en stærk krypteringsalgoritme til at låse næsten alle ofrets filer. Berørte brugere vil blive forhindret i at få adgang til eller på nogen måde bruge deres dokumenter, PODF'er, arkiver, databaser, billeder, fotos, lyd- og videofiler osv. Under krypteringsprocessen vil Cip Ransomware også ændre navnene på de målrettede filer. Truslen holder sig til det sædvanlige Dharma-navnemønster ved først at tilføje en tegnstreng, der fungerer som offerets ID. Dernæst tilføjer Cip en e-mailadresse, der kontrolleres af dets operatører. Endelig vil '.cip' blive tilføjet som en ny filtypenavn.

Ofrene vil stå tilbage med to løsesumsedler, der indeholder instruktioner fra angriberne. En vil blive placeret på det kompromitterede systems skrivebord som en tekstfil med navnet 'info.txt'. Den anden note vil blive vist i et nyt pop op-vindue.

Cip Ransomwares krav

Målet med truslen er at afpresse penge til gengæld for genoprettelse af ofrets data. Begge dets løsesumsedler mangler dog mange af de afgørende detaljer, der er observeret i andre ransomware-trusler. Beskederne nævner ikke mængden af den krævede løsesum, hvis midlerne skal overføres ved hjælp af en specifik kryptovaluta, eller hvis angriberne er villige til at demonstrere deres evne til at dekryptere dataene ved at låse et par filer op gratis.

I stedet viser noten i tekstfilen de to e-mails, som ofrene kan bruge til kommunikation - 'ciphercrypt@tuta.io' og 'cipherc@onionmail.org.' Instruktionerne i pop op-vinduet er ikke så meget nyttige. De indeholder simpelthen en sektion med forskellige advarsler, såsom ikke at omdøbe de krypterede filer eller køre tredjepartsdekryptering, da det kan beskadige dataene og gøre filerne uoprettelige.

Pop-up beskeden er:

DINE FILER ER KRYPTET
1024
Bare rolig, du kan returnere alle dine filer!
Hvis du vil gendanne dem, så skriv til mailen: ciphercrypt@tuta.io DIT ID -
Hvis du ikke har svaret via mail inden for 12 timer, så skriv til os på en anden mail:cipherc@onionmail.org
OPMÆRKSOMHED!
Vi anbefaler, at du kontakter os direkte for at undgå overbetalende agenter
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.

Noten fundet inde i tekstfilen er:

alle dine data er blevet låst os
Vil du tilbage?
skriv e-mail ciphercrypt@tuta.io eller cipherc@onionmail.org