Lsas Ransomware
Det ser ud til, at cyberkriminelle stadig bruger den berygtede Dharma Ransomware til at skabe nye malware-trusler for at inficere brugernes computere. Den seneste variant, der stammer fra denne malware-familie, spores af infosec-eksperter som Lsas Ransomware. På trods af at det er en variant uden nogen væsentlig forbedring i forhold til de andre Dharma- varianter, bør Lsas Ransomwares evne til at forårsage ødelæggelse ikke undervurderes.
Efter at være installeret på de kompromitterede systemer, vil Lsas Ransomware starte en stærk krypteringsproces, der vil låse adskillige filer, der er gemt der. En lang række filtyper vil blive gjort ubrugelige. Ofre vil ikke længere have adgang til deres dokumenter, arkiver, databaser, PDF'er og mere.
Under krypteringsprocessen vil hver berørt fil have en unik ID-streng, en e-mailadresse og en ny filtypenavn tilføjet til dets oprindelige navn. Den specifikke e-mail, der bruges af truslen, er 'sekurlsa@ml1.net', mens filtypenavnet er '.lsas.' Efter at have fuldført sin truende opgave, vil truslen slippe to løsesum-krævende beskeder fra angriberne.
Ransom Notes detaljer
Efter den typiske Dharma-adfærd leverer Lsas Ransowmare også to forskellige løsesumsedler til sine ofre. Først opretter truslen en tekstfil med navnet 'FILES ENCRYPTED.txt'. Den indeholder kun et par sætninger, der leder brugerne til at kontakte hackernes to e-mailadresser - 'sekurlsa@ml1.net' og 'sekurlsa@mm.st.'Dog vil hovedsættet af instruktioner blive præsenteret i et pop-up vindue. Det afslører, at løsesumsbetalingen skal foretages ved hjælp af Bitcoin-kryptovalutaen, og brugere har lov til at sende en enkelt fil, der skal dekrypteres gratis.Den valgte fil skal dog være mindre end 1 MB i størrelse og bør ikke indeholde vigtige data.
Den fulde tekst, der vises i pop op-vinduet, er:
' Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mailen sekurlsa@ml1.net
Skriv dette ID i titlen på din besked 1E857D00
I tilfælde af intet svar inden for 24 timer, skriv til os på disse e-mails:sekurlsa@mm.st
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig dekrypteringsværktøjet, der dekrypterer alle dine filer.
Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 1 fil til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 1 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)
Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
https://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus. '
Tekstfilen indeholder følgende besked:
' alle dine data er blevet låst os
Vil du tilbage?
'Skriv e-mail sekurlsa@ml1.net eller sekurlsa@mm.st '
