Cip Ransomware

Infosecin tutkijat ovat tunnistaneet toisen tuhoavan kiristysohjelmauhan, joka on osa Dharma ransomware -perhettä. Cip Ransowmareksi kutsuttu uhka seuraa tarkasti tyypillistä Dharma-käyttäytymistä ilman merkittäviä poikkeamia. Vahinkoa, jota se voi aiheuttaa tartunnan saaneille tietokonejärjestelmille, ei kuitenkaan pidä aliarvioida.

Cip käyttää vahvaa salausalgoritmia lähes kaikkien uhriensa tiedostojen lukitsemiseen. Asianomaisia käyttäjiä estetään pääsemästä käsiksi tai millään tavalla käyttämään asiakirjojaan, PODF-tiedostoja, arkistoja, tietokantoja, kuvia, valokuvia, ääni- ja videotiedostoja jne. Salausprosessin aikana Cip Ransomware muuttaa myös kohdetiedostojen nimiä. Uhka pysyy tavanomaisessa Dharman nimeämismallissa lisäämällä ensin merkkijonon, joka toimii uhrin tunnuksena. Seuraavaksi Cip lisää operaattoreidensa hallitseman sähköpostiosoitteen. Lopuksi .cip lisätään uutena tiedostopäätteenä.

Uhreille jätetään kaksi lunnaita, jotka sisältävät hyökkääjien ohjeita. Yksi sijoitetaan vaarantuneen järjestelmän työpöydälle tekstitiedostona nimeltä "info.txt". Toinen huomautus näytetään uudessa ponnahdusikkunassa.

Cip Ransomwaren vaatimukset

Uhkauksen tavoitteena on kiristää rahaa vastineeksi uhrin tietojen palauttamisesta. Molemmista sen lunnaita koskevista seteleistä puuttuu kuitenkin monia tärkeitä yksityiskohtia, jotka on havaittu muissa lunnasohjelmauhkissa. Viesteissä ei mainita vaaditun lunnaiden määrää, jos varat on siirrettävä tietyllä kryptovaluutalla tai jos hyökkääjät ovat valmiita osoittamaan kykynsä purkaa tietojen salaus avaamalla pari tiedostoa ilmaiseksi.

Sen sijaan tekstitiedoston huomautuksessa luetellaan kaksi sähköpostiviestiä, joita uhrit voivat käyttää viestintään - "ciphercrypt@tuta.io" ja "cipherc@onionmail.org". Ponnahdusikkunan ohjeet eivät ole kovin hyödyllisiä. Ne sisältävät yksinkertaisesti osion, jossa on erilaisia varoituksia, kuten salattujen tiedostojen uudelleennimeämättä jättäminen tai kolmannen osapuolen salauksenpurkuohjelmien käyttäminen, koska tämä voi vahingoittaa tietoja ja tehdä tiedostoista pelastamattomia.

Ponnahdusviesti on:

TIEDOSTOSI ON SALATUJA
1024
Älä huoli, voit palauttaa kaikki tiedostosi!
Jos haluat palauttaa ne, kirjoita sähköpostiin: ciphercrypt@tuta.io TUNNUSSI -
Jos et ole vastannut postitse 12 tunnin kuluessa, kirjoita meille toiseen sähköpostiin:cipherc@onionmail.org
HUOMIO!
Suosittelemme, että otat meihin yhteyttä suoraan, jotta vältyt liiallisilta välittäjiltä
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.

Tekstitiedoston sisällä oleva huomautus on:

kaikki tietosi on lukittu meille
Haluatko palata?
Kirjoita sähköposti ciphercrypt@tuta.io tai cipherc@onionmail.org