Cryptonite Ransomware

Cryptonite Ransomware -uhka ei ehkä ole täysin ainutlaatuinen - infosec-tutkijat ovat vahvistaneet, että se on muunnos Chaos Ransomwaresta , mutta se ei tee siitä yhtään vähemmän uhkaavaa. Kun uhka on suoritettu tartunnan saaneissa tietokoneissa, se suorittaa vahvan salausrutiinin, joka muuttaa suurimman osan sinne tallennetuista tiedoista saavuttamattomaan ja käyttökelvottomaan tilaan. Tämä vaikuttaa tiedostoihin, kuten asiakirjoihin, PDF-tiedostoihin, kuviin, valokuviin, arkistoihin, tietokantoihin ja moniin muihin, ja palauttaminen tietämättä oikeita salauksenpurkuavaimia olisi käytännössä mahdotonta.

Toisin kuin useimmat kiristysohjelmauhat, Cryptonite ei käytä johdonmukaista merkkijonoa merkitsemään salaamiaan tiedostoja. Sen sijaan se luo erilaisen 4-merkkisen merkkijonon ja liittää sen alkuperäisiin tiedostonimiin. Rikkoutuneiden laitteiden työpöydän taustat korvataan uudella taustalla, joka sisältää lyhyen ranskankielisen viestin. Uhka pudotti lunnaita tekstitiedostona nimeltä "lisezmoi.txt". myös kirjoitetaan kokonaan ranskaksi.

Cryptoniten lunnaita vaativan viestin kääntäminen paljastaa, että sen operaattorit yrittävät kiristää 0,51 BTC (Bitcoins) uhriltaan. Muistiinpanon mukaan lunnaiden pitäisi olla täsmälleen 13 457,65 dollaria, mutta tämä ei ole enää tarkka. Kryptovaluutan erittäin epävakaasta luonteesta johtuen lunnaiden arvo on nykyisellä valuuttakurssilla noin 10 500 dollaria.

Lunnasseteissä varoitetaan uhan uhreja, että heillä on 24 tuntia aikaa lähettää rahat annettuun kryptolompakkoosoitteeseen. Jos ne vievät kauemmin, he alkavat menettää 2 salattua tiedostoa 24 tunnin välein. Lisäksi 7 päivän kuluttua lunnaiden suuruus nostetaan 16 000 dollariin. Yksi sähköpostiosoite - 'decrypt5058@proton.me' on ainoa tarjottu tapa muodostaa kommunikointi kyberrikollisten kanssa.

Muistiinpanon koko teksti ranskaksi on:

'Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE et vous ne serez pas capable de décryptés vos fichiers sans la clé de décryptage.

Pour decryptage de vos fichiers et supprimer le virus veuillez nous contacter sur notre adresse emails ci-dessous.

Ota yhteyttä: decrypt5058@proton.me

Vous devez payer une rançon et cette rançon ne peut être payée que en bitcoin à l'adresse indiqué ci-dessous.

Montant: 13457,65 $ = 0,51 btc
Osoite: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Chaque 24h deux fichiers seront sélectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ à 16000$

Chaque fichier que vous éssayerez de décrypter sans la clé endmmagera le fichier et vous le perdrez à jamais.'