Lizard (Phobos) Ransomware

کارشناسان امنیت سایبری یک تهدید بدافزار شرور دیگر را بر اساس خانواده بدنام باج‌افزار فوبوس کشف کرده‌اند. این تهدید باج‌افزار Lizard نامیده می‌شود و می‌توان از آن برای قفل کردن داده‌های ذخیره شده در دستگاه‌های نقض شده استفاده کرد. الگوریتم رمزگذاری به اندازه کافی قوی تضمین می کند که بازیابی فایل های آسیب دیده بدون کلید رمزگشایی صحیح عملاً امکان پذیر نخواهد بود.

هنگامی که باج افزار Lizard یک فایل را رمزگذاری می کند، نام اصلی آن فایل را نیز به شدت تغییر می دهد. کاربران آسیب دیده متوجه خواهند شد که فایل های آنها اکنون دارای یک رشته شناسه، یک آدرس ایمیل و یک پسوند فایل جدید است که به نام آنها اضافه شده است. رشته ID برای هر قربانی متفاوت ایجاد می شود، در حالی که آدرس ایمیل مورد استفاده توسط تهدید 'r3wuq@tuta.io' است. پسوند فایل ".LIZARD" است. در مورد باج تهدید، باج افزار Lizard دو پیام مختلف ارسال می کند. یکی در یک پنجره پاپ آپ ایجاد شده از یک فایل 'info.hta' نمایش داده می شود، در حالی که دیگری در داخل یک فایل متنی به نام 'info.txt' قرار دارد.

مروری بر Ransom Note

فایل متنی فقط شامل چند جمله است. عمدتاً به قربانیان این تهدید دستور می‌دهد که با ارسال پیام به "r3wuq@tuta.io" تماس برقرار کنند یا در صورت عدم پاسخگویی پس از 24 ساعت، باید از یک حساب تلگرام به آدرس "@Online7_365" استفاده کنند. پیام اصلی باج خواهی پیامی است که به عنوان یک پنجره بازشو نشان داده شده است. این نشان می‌دهد که مهاجمان فقط پرداخت‌هایی را که با استفاده از ارز دیجیتال بیت‌کوین انجام می‌شوند، می‌پذیرند. همچنین بیان می کند که عوامل تهدید مایلند تا حداکثر 5 فایل را به صورت رایگان رمزگشایی کنند. با این حال، فایل های انتخابی نباید حاوی اطلاعات مهمی باشند و حجم کل نباید بیش از 4 مگابایت باشد.

پیامی که در فایل متنی یافت می شود:

' !!!همه فایل های شما رمزگذاری شده اند!!!
برای رمزگشایی آنها به این آدرس ایمیل ارسال کنید: r3wuq@tuta.io.
اگر تا 24 ساعت جواب ندادیم به تلگرام پیام بدید @Online7_365 '

یادداشت باج‌گیری که توسط Lizard Ransomware در یک پنجره پاپ‌آپ نمایش داده می‌شود:

همه فایل های شما رمزگذاری شده اند!
تمامی فایل های شما به دلیل مشکل امنیتی کامپیوتر شما رمزگذاری شده اند. اگر می خواهید آنها را بازیابی کنید، به ایمیل r3wuq@tuta.io برای ما بنویسید
این شناسه را در عنوان پیام خود بنویسید -
در صورتی که ظرف 24 ساعت پاسخی دریافت نکردید، لطفا از طریق اکانت Telegram.org با ما تماس بگیرید: @Online7_365
شما باید برای رمزگشایی در بیت کوین هزینه کنید. قیمت بستگی به سرعت ارسال شما به ما دارد. پس از پرداخت، ابزاری را برای شما ارسال می کنیم که تمام فایل های شما را رمزگشایی می کند.
رمزگشایی رایگان به عنوان تضمین
قبل از پرداخت می توانید حداکثر 5 فایل را برای رمزگشایی رایگان برای ما ارسال کنید. حجم کل فایل ها باید کمتر از 4 مگابایت (غیر بایگانی) باشد و فایل ها نباید حاوی اطلاعات ارزشمندی باشند. (پایگاه های اطلاعاتی، نسخه های پشتیبان، برگه های بزرگ اکسل و غیره)
نحوه بدست آوردن بیت کوین
ساده ترین راه برای خرید بیت کوین سایت LocalBitcoins است. شما باید ثبت نام کنید، روی «خرید بیت کوین» کلیک کنید و فروشنده را بر اساس روش پرداخت و قیمت انتخاب کنید.
hxxps://localbitcoins.com/buy_bitcoins
همچنین می توانید مکان های دیگری برای خرید بیت کوین و راهنمای مبتدیان را در اینجا بیابید:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید. '