BITCOINPAYMENT Ransomware
Μια παραλλαγή της οικογένειας κακόβουλου λογισμικού Phobos, το BITCOINPAYMENT Ransomware στοχεύει τα δεδομένα των θυμάτων του και τα καθιστά άχρηστα μέσω μιας ισχυρής ρουτίνας κρυπτογράφησης. Οι χειριστές της απειλής θα επιχειρήσουν στη συνέχεια να εκβιάσουν τους επηρεαζόμενους χρήστες ή εταιρείες για χρήματα. Θα πρέπει να σημειωθεί ότι παρόλο που το BITCOINPAYMENT Ransomware δεν παρουσιάζει σημαντικές βελτιώσεις ή τροποποιήσεις σε σύγκριση με τις άλλες παραλλαγές του Phobos , δεν πρέπει να υποτιμάται η καταστροφική του δυνατότητα.
Γενικά, το BITCOINPAYMENT Ransomware ακολουθεί την καθιερωμένη συμπεριφορά Phobos. Τροποποιεί τα ονόματα των κρυπτογραφημένων αρχείων προσθέτοντας μια συμβολοσειρά αναγνωριστικού, μια διεύθυνση email και μια νέα επέκταση σε αυτά. Η συμβολοσειρά αναγνωριστικού δημιουργείται για κάθε θύμα, ενώ η διεύθυνση email και η επέκταση είναι "cleverhorse@protonmail.com" και ".BITCOINPAYMENT". Όταν όλα τα στοχευμένα δεδομένα κλειδωθούν από την απειλή, το BITCOINPAYMENT Ransomware θα προχωρήσει στην απόθεση δύο αρχείων στη συσκευή που έχει παραβιαστεί, με τα ονόματα "info.hta" και "info.txt".
Το αρχείο κειμένου περιέχει οδηγίες για το πώς τα θύματα που επηρεάζονται μπορούν να επικοινωνήσουν με τον λογαριασμό Jabber του εισβολέα για να λάβουν περισσότερες λεπτομέρειες. Αναφέρει επίσης ότι έως και 3 κρυπτογραφημένα αρχεία με συνολικό μέγεθος μικρότερο από 10MB μπορούν να αποσταλούν για αποκρυπτογράφηση δωρεάν. Ωστόσο, η πλήρης σημείωση λύτρων εμφανίζεται σε ένα αναδυόμενο παράθυρο που δημιουργείται από το αρχείο hta. Εδώ, οι κυβερνοεγκληματίες διευκρινίζουν ότι θα γίνονται δεκτές μόνο πληρωμές που γίνονται με χρήση του κρυπτονομίσματος Bitcoin. Όσο για το μέγεθος των απαιτούμενων λύτρων, προφανώς θα βασίζεται στον χρόνο που χρειάζονται τα θύματα για να έρθουν σε επαφή.
Το πλήρες κείμενο του μηνύματος που εμφανίζεται ως αναδυόμενο παράθυρο είναι:
Όλα τα αρχεία σας έχουν κρυπτογραφηθεί!
Όλα τα αρχεία σας έχουν κρυπτογραφηθεί λόγω προβλήματος ασφαλείας με τον υπολογιστή σας. Αν θέλετε να τα επαναφέρετε, γράψτε μας στο e-mail cleverhorse@protonmail.com
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας -
Εάν δεν υπάρχει απάντηση από την αλληλογραφία μας, μπορείτε να εγκαταστήσετε το πρόγραμμα-πελάτη Jabber και να μας γράψετε για υποστήριξη του cleverhorse@xmpp.jp
Πρέπει να πληρώσετε για την αποκρυπτογράφηση σε Bitcoin. Η τιμή εξαρτάται από το πόσο γρήγορα θα μας γράψετε. Μετά την πληρωμή θα σας στείλουμε το εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 1-3 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 10 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Οδηγίες εγκατάστασης προγράμματος-πελάτη Jabber:
Κάντε λήψη του προγράμματος-πελάτη jabber (Pidgin) από το hxxps://pidgin.im/download/windows/
Μετά την εγκατάσταση, ο πελάτης Pidgin θα σας ζητήσει να δημιουργήσετε έναν νέο λογαριασμό.
Κάντε κλικ στο "Προσθήκη"
Στο πεδίο "Πρωτόκολλο", επιλέξτε XMPP
Στο "Όνομα χρήστη" - βρείτε οποιοδήποτε όνομα
Στο πεδίο "τομέας" - πληκτρολογήστε οποιονδήποτε jabber-server, υπάρχουν πολλοί από αυτούς, για παράδειγμα - exploit.im
Δημιούργησε έναν κωδικό
Στο κάτω μέρος, βάλτε ένα σημάδι "Δημιουργία λογαριασμού"
Κάντε κλικ στην προσθήκη
Εάν επιλέξατε "domain" - exploit.im, τότε θα εμφανιστεί ένα νέο παράθυρο στο οποίο θα πρέπει να εισαγάγετε ξανά τα δεδομένα σας:
Χρήστης
Κωδικός πρόσβασης
Θα χρειαστεί να ακολουθήσετε τον σύνδεσμο προς το captcha (εκεί θα δείτε τους χαρακτήρες που πρέπει να εισαγάγετε στο παρακάτω πεδίο)
Εάν δεν καταλαβαίνετε τις οδηγίες εγκατάστασης του προγράμματος-πελάτη Pidgin, μπορείτε να βρείτε πολλούς οδηγούς εγκατάστασης στο youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installΠροσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.Το αρχείο κειμένου περιέχει τις ακόλουθες οδηγίες:
Θέλετε να επιστρέψετε τα αρχεία σας; Γράψτε στον λογαριασμό μας xmpp - cleverhorse@xmpp.jp
Ο ευκολότερος τρόπος - εγγραφείτε εδώ hxxps://www.xmpp.jp/signup
Μετά τη λήψη του προγράμματος-πελάτη pidgin hxxps://pidgin.im/
Πατήστε Προσθήκη λογαριασμού, επιλέξτε πρωτόκολλο xmpp και βάλτε όνομα χρήστη από το xmpp.jp όπου εγγραφείτε
Τομέας - xmpp.jp
Βάλτε τον κωδικό πρόσβασής σας και πατήστε προσθήκη
Όταν συνδέεστε πατήστε Buddies --> Add Buddy --> και στο Buddys username βάλτε το cleverhorse xmpp.jp
Αφού δείτε τον προστιθέμενο λογαριασμό cleverhorse@xmpp.jp, κάντε κλικ δύο φορές πάνω του και γράψτε το μήνυμά σας
Μπορείτε να μας στείλετε 1-3 δοκιμαστικά αρχεία. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 10 Mb (μη αρχειοθετημένο),
θα τα αποκρυπτογραφήσουμε και θα σας στείλουμε ότι είμαστε αληθινοί
Εάν έχετε πρόβλημα με το xmpp, μπορείτε να γράψετε στο mail μας cleverhorse@protonmail.com .'
