Αρχείο Ransomware
Οι ερευνητές της κυβερνοασφάλειας προειδοποιούν τους χρήστες για μια επιβλαβή απειλή ransomware που ονομάζεται File Ransomware. Το File Ransomware είναι ικανό να κλειδώνει πολλούς διαφορετικούς τύπους αρχείων, εμποδίζοντας ουσιαστικά τους χρήστες να έχουν πρόσβαση στα δικά τους δεδομένα. Οι εισβολείς μπορούν να χρησιμοποιήσουν τα κρυπτογραφημένα αρχεία ως μοχλό για να εκβιάσουν χρήματα από τα θύματά τους. Αν και το File Ransomware έχει επιβεβαιωθεί ότι είναι μια παραλλαγή από την οικογένεια κακόβουλου λογισμικού Phobos , η ικανότητά του να προκαλεί ζημιά παραμένει σημαντική.
Τα θύματα του File Ransomware θα παρατηρήσουν ότι όλα τα επηρεαζόμενα αρχεία έχουν σημαντικά τροποποιημένα ονόματα. Πράγματι, το File Ransomware προσθέτει μια συμβολοσειρά ID, μια διεύθυνση email που ελέγχεται από τους εισβολείς και το '.FILE' στα ονόματα των κρυπτογραφημένων αρχείων. Επιπλέον, το κακόβουλο λογισμικό θα αποβάλει δύο νέα αρχεία στη συσκευή που έχει παραβιαστεί. Με την ονομασία «info.hta» και «info.txt», αυτά τα αρχεία έχουν την αποστολή να φέρουν σημειώσεις λύτρων των εισβολέων.
Το αρχείο .hta χρησιμοποιείται ως πηγή για ένα αναδυόμενο παράθυρο. Ωστόσο, το μήνυμα που απαιτεί λύτρα που εμφανίζεται σε αυτό είναι εξαιρετικά σύντομο και περιέχει κυρίως πληροφορίες για το πώς τα θύματα μπορούν να επικοινωνήσουν με τους εγκληματίες του κυβερνοχώρου. Το σημείωμα αναφέρει δύο διευθύνσεις ηλεκτρονικού ταχυδρομείου - "teamchic@yandex.com" και "teamchica@yandex.com", καθώς και δύο λογαριασμούς Jabber - "teamchic@jabb.im" και "teamchic@exploit.im".
Το πλήρες σύνολο οδηγιών που αφήνει το File Ransomware βρίσκεται στο αρχείο κειμένου της απειλής. Ενημερώνει τα θύματα ότι το ποσό που ζητείται ως λύτρα θα βασίζεται στο πόσο σύντομα θα επικοινωνήσουν με τους δράστες. Επιπλέον, θα γίνονται δεκτές μόνο πληρωμές σε Bitcoin. Οι χάκερ δηλώνουν επίσης ότι είναι πρόθυμοι να αποκρυπτογραφήσουν έως και 5 αρχεία δωρεάν. Ωστόσο, τα επιλεγμένα αρχεία πρέπει να έχουν συνολικό μέγεθος μικρότερο από 4 MB και δεν πρέπει να περιέχουν σημαντικά δεδομένα.
Το σημείωμα λύτρων που παραδόθηκε ως αρχείο κειμένου είναι:
' Όλα τα αρχεία σας έχουν κρυπτογραφηθεί!
Όλα τα αρχεία σας έχουν κρυπτογραφηθεί λόγω προβλήματος ασφαλείας με τον υπολογιστή σας. Αν θέλετε να τα επαναφέρετε, γράψτε μας στο e-mail teamchic@yandex.com
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας -
Σε περίπτωση μη απάντησης σε 24 ώρες γράψτε μας σε αυτό το e-mail:teamchica@yandex.com
Εάν δεν υπάρχει απάντηση από το ταχυδρομείο μας, μπορείτε να εγκαταστήσετε το πρόγραμμα-πελάτη Jabber και να μας γράψετε για υποστήριξη του teamchic@jabb.im ή του teamchic@exploit.im
Πρέπει να πληρώσετε για την αποκρυπτογράφηση σε Bitcoin. Η τιμή εξαρτάται από το πόσο γρήγορα θα μας γράψετε. Μετά την πληρωμή θα σας στείλουμε το εργαλείο που θα αποκρυπτογραφήσει όλα τα αρχεία σας.Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 5 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 4 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Οδηγίες εγκατάστασης προγράμματος-πελάτη Jabber:
Κάντε λήψη του προγράμματος-πελάτη jabber (Pidgin) από το hxxps://pidgin.im/download/windows/
Μετά την εγκατάσταση, ο πελάτης Pidgin θα σας ζητήσει να δημιουργήσετε έναν νέο λογαριασμό.
Κάντε κλικ στο "Προσθήκη"
Στο πεδίο "Πρωτόκολλο", επιλέξτε XMPP
Στο "Όνομα χρήστη" - βρείτε οποιοδήποτε όνομα
Στο πεδίο "τομέας" - πληκτρολογήστε οποιονδήποτε jabber-server, υπάρχουν πολλοί από αυτούς, για παράδειγμα - exploit.im
Δημιούργησε έναν κωδικό
Στο κάτω μέρος, βάλτε ένα σημάδι "Δημιουργία λογαριασμού"
Κάντε κλικ στην προσθήκη
Εάν επιλέξατε "domain" - exploit.im, τότε θα εμφανιστεί ένα νέο παράθυρο στο οποίο θα πρέπει να εισαγάγετε ξανά τα δεδομένα σας:
Χρήστης
Κωδικός πρόσβασης
Θα χρειαστεί να ακολουθήσετε τον σύνδεσμο προς το captcha (εκεί θα δείτε τους χαρακτήρες που πρέπει να εισαγάγετε στο παρακάτω πεδίο)
Εάν δεν καταλαβαίνετε τις οδηγίες εγκατάστασης του προγράμματος-πελάτη Pidgin, μπορείτε να βρείτε πολλούς οδηγούς εγκατάστασης στο youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installΠροσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.Το μήνυμα που εμφανίζεται ως αναδυόμενο παράθυρο είναι:
!!!Όλα τα αρχεία σας είναι κρυπτογραφημένα!!!
Για να τα αποκρυπτογραφήσετε, στείλτε e-mail σε αυτήν τη διεύθυνση: teamchic@yandex.com.
Εάν δεν απαντήσουμε σε 24 ώρες, στείλτε e-mail σε αυτή τη διεύθυνση: teamchica@yandex.com
Εάν δεν υπάρχει απάντηση από το ταχυδρομείο μας, μπορείτε να εγκαταστήσετε το πρόγραμμα-πελάτη Jabber και να μας γράψετε για υποστήριξη του teamchic@jabb.im ή του teamchic@exploit.im '
