Lizard (Phobos) Ransomware

Kyberturvallisuusasiantuntijat ovat paljastaneet toisen ilkeän haittaohjelmauhan, joka perustuu pahamaineiseen Phobos Ransomware -perheeseen. Uhka on nimeltään Lizard Ransomware, ja sitä voidaan käyttää rikotun laitteen tietojen lukitsemiseen. Riittävän vahva salausalgoritmi varmistaa, että haavoittuvien tiedostojen palauttaminen ilman oikeaa salauksenpurkuavainta ei ole käytännössä mahdollista.

Kun Lizard Ransomware salaa tiedoston, se myös muuttaa rajusti tiedoston alkuperäistä nimeä. Asianomaiset käyttäjät huomaavat, että heidän tiedostoissaan on nyt tunnusmerkkijono, sähköpostiosoite ja uusi tiedostopääte liitettynä heidän nimiinsä. Tunnusmerkkijono luodaan jokaiselle eri uhrille, kun taas uhan käyttämä sähköpostiosoite on "r3wuq@tuta.io". Tiedostotunniste on .LIZARD. Mitä tulee uhan lunnaita koskevaan muistiin, Lizard Ransomware jättää kaksi eri viestiä. Toinen näytetään info.hta-tiedostosta luodussa ponnahdusikkunassa, kun taas toinen on info.txt-nimisen tekstitiedoston sisällä.

Ransom Note:n yleiskatsaus

Tekstitiedosto sisältää vain muutaman lauseen. Se lähinnä ohjeistaa uhan uhreja ottamaan yhteyttä lähettämällä viestiä 'r3wuq@tuta.io' tai, jos vastausta ei saada 24 tunnin kuluessa, heidän tulee käyttää Telegram-tiliä osoitteessa '@Online7_365'. Pääasiallinen lunnaita vaativa viesti on se, joka näytetään ponnahdusikkunana. Se paljastaa, että hyökkääjät hyväksyvät vain maksut, jotka on suoritettu käyttämällä Bitcoin-kryptovaluuttaa. Siinä todetaan myös, että uhkatoimijat ovat valmiita purkamaan jopa 5 tiedoston salauksen ilmaiseksi. Valitut tiedostot eivät kuitenkaan saa sisältää tärkeitä tietoja, eivätkä ne saa ylittää 4 Mt:n kokoa.

Tekstitiedostosta löytyvä viesti on:

' !!!Kaikki tiedostosi ovat salattuja!!!
Purkaa niiden salaus lähettämällä sähköpostia tähän osoitteeseen: r3wuq@tuta.io.
Jos emme vastaa 24 tunnin kuluessa, lähetä viesti sähkeeseen: @Online7_365 '

Lizard Ransomwaren ponnahdusikkunassa näyttämä lunnasilmoitus on:

' Kaikki tiedostosi on salattu!
Kaikki tiedostosi on salattu tietokoneesi tietoturvaongelman vuoksi. Jos haluat palauttaa ne, kirjoita meille sähköpostiin r3wuq@tuta.io
Kirjoita tämä tunnus viestisi otsikkoon -
Jos et saa vastausta 24 tunnin kuluessa, ota meihin yhteyttä Telegram.org-tilin kautta: @Online7_365
Sinun on maksettava salauksen purkamisesta Bitcoineilla. Hinta riippuu siitä, kuinka nopeasti kirjoitat meille. Maksun jälkeen lähetämme sinulle työkalun, joka purkaa kaikki tiedostosi.
Ilmainen salauksen purku takuuna
Ennen maksamista voit lähettää meille jopa 5 tiedostoa ilmaiseen salauksen purkamiseen. Tiedostojen kokonaiskoon tulee olla alle 4 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa. (tietokannat, varmuuskopiot, suuret excel-arkit jne.)
Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita Bitcoinien ostopaikkoja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi. '