Fil Ransomware
Cybersikkerhedsforskere advarer brugere om en sårende ransomware-trussel ved navn File Ransomware. File Ransomware er i stand til at låse adskillige forskellige filtyper, hvilket effektivt forhindrer brugere i at få adgang til deres egne data. Angriberne kan bruge de krypterede filer som løftestang til at afpresse penge fra deres ofre. Selvom File Ransomware er blevet bekræftet at være en variant fra Phobos malware-familien, er dens kapacitet til at forårsage skade fortsat betydelig.
Ofre for File Ransomware vil bemærke, at alle berørte filer har væsentligt ændrede navne. Faktisk tilføjer File Ransomware en ID-streng, en e-mail-adresse kontrolleret af angriberne og '.FILE' til navnene på de krypterede filer. Derudover vil malwaren slippe to nye filer på den brudte enhed. Disse filer, der hedder 'info.hta' og 'info.txt', har til opgave at bære angribernes løsesumsedler.
.hta-filen bruges som kilde til et pop-up-vindue. Den løsesumskrævende besked, der vises i den, er dog ekstremt kort og indeholder for det meste information om, hvordan ofre kan kontakte de cyberkriminelle. Notatet nævner to e-mailadresser - 'teamchic@yandex.com' og 'teamchica@yandex.com' samt to Jabber-konti - 'teamchic@jabb.im' og 'teamchic@exploit.im.'
Det fulde sæt instruktioner efterladt af File Ransomware kan findes i truslens tekstfil. Det meddeler ofrene, at det beløb, der kræves som løsesum, vil være baseret på, hvor hurtigt de når ud til angriberne. Ydermere accepteres kun betalinger i Bitcoin. Hackerne oplyser også, at de er villige til at dekryptere op til 5 filer gratis. De valgte filer skal dog have en samlet størrelse på mindre end 4MB og bør ikke indeholde vigtige data.
Løsesedlen leveret som en tekstfil er:
' Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mailen teamchic@yandex.com
Skriv dette ID i titlen på din besked -
I tilfælde af intet svar inden for 24 timer, skriv til os på denne e-mail:teamchica@yandex.com
Hvis der ikke er noget svar fra vores mail, kan du installere Jabber-klienten og skrive til os som support til teamchic@jabb.im eller teamchic@exploit.im
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig værktøjet, der dekrypterer alle dine filer.Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 5 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 4 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installationsvejledning til Jabber-klient:
Download jabber (Pidgin)-klienten fra hxxps://pidgin.im/download/windows/
Efter installationen vil Pidgin-klienten bede dig om at oprette en ny konto.
Klik på "Tilføj"
I feltet "Protokol" skal du vælge XMPP
I "Brugernavn" - kom med et hvilket som helst navn
I feltet "domæne" - indtast en hvilken som helst jabber-server, der er mange af dem, for eksempel - exploit.im
Lav et kodeord
Sæt et flueben i bunden af "Opret konto"
Klik på Tilføj
Hvis du valgte "domæne" - exploit.im, så skulle et nyt vindue dukke op, hvor du bliver nødt til at indtaste dine data igen:
Bruger
adgangskode
Du skal følge linket til captchaen (der vil du se de tegn, du skal indtaste i feltet nedenfor)
Hvis du ikke forstår vores Pidgin-klientinstallationsvejledning, kan du finde mange installationsvejledninger på youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installOpmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.Meddelelsen vist som et pop-up vindue er:
!!!Alle dine filer er krypteret!!!
For at dekryptere dem, send en e-mail til denne adresse: teamchic@yandex.com.
Hvis vi ikke svarer inden for 24 timer, send en e-mail til denne adresse: teamchica@yandex.com
Hvis der ikke er noget svar fra vores mail, kan du installere Jabber-klienten og skrive til os for at støtte teamchic@jabb.im eller teamchic@exploit.im '
