Scorp Ransomware
Kyberrikolliset ovat luoneet uuden voimakkaan kiristysohjelmauhan, joka pystyy häiritsemään kaikkia tietokoneita, jotka se onnistuu saastuttamaan. Tätä tiettyä haittaohjelmaa seurataan nimellä Scorp Ransomware, ja analyysi on paljastanut, että se on muunnos, joka kuuluu VoidCrypt- haittaohjelmaperheeseen. Useimmat yhdestä uhkaavasta perheestä peräisin olevat muunnelmat ovat käytännössä kopioita toisistaan minimaalisilla eroilla. Se ei kuitenkaan millään tavalla vähennä heidän tuhoisaa potentiaaliaan.
Kun Scorp Ransomware on toimitettu kohdejärjestelmään, se käynnistää salausprosessin, joka näkee, että lähes kaikki laitteeseen tallennetut tiedostot estetään. Uhreille jää vain vähän varteenotettavaa vaihtoehtoa tietojensa palauttamisessa. Osana toimiaan uhka muuttaa myös vaikuttavien tiedostojen nimiä. Se liittää niihin sähköpostiosoitteen, merkkijonon satunnaisia merkkejä ja .scorp uutena laajennuksena. Scorpin käyttämä sähköpostiosoite on sc0rpio@mailfence.com.
Ransom Note:n tiedot
Kun uhka on lopettanut kaikkien kohdistettujen tiedostotyyppien lukituksen, se pudottaa uhreilleen ohjeet sisältävän lunnaat. Hakkereiden viesti toimitetaan tartunnan saaneeseen järjestelmään tekstitiedostona nimeltä "Decrypt-me.txt". Viestin mukaan uhrien on ennen kaikkea löydettävä C:\ProgramData\-kansiosta tiedosto nimeltä prvkey .txt ( voi olla numero), jonka lunnasohjelman olisi pitänyt luoda. Tämä tiedosto on välttämätön salattujen tietojen palauttamiseksi, ja ilman sitä edes verkkorikolliset eivät pysty avaamaan tiedostoja.
Lunnasmuistiossa myös selvennetään, että uhrien odotetaan maksavan lunnaita ja siirrettävien varojen on oltava Bitcoinin kryptovaluuttana. Käyttäjät voivat myös lähettää pari pientä tiedostoa (alle 1 Mt) purettavaksi ilmaiseksi. Lunnasviestissä toistetaan, että ainoa tapa tavoittaa hyökkääjät on sähköpostiosoitteen sc0rpio@mailfence.com kautta.
Lunnaita vaativan viestin koko teksti on:
Kaikki tiedostosi on salattu
Sinun on maksettava saadaksesi tiedostosi takaisin
1-Siirry osoitteeseen C:\ProgramData\ tai muihin asemiin ja lähetä meille prvkey*.txt.key-tiedosto , * voi olla numero (kuten tämä: prvkey3.txt.key)
2-Voit lähettää alle 1 megatavun tiedoston salauksenpurkutestiä varten, jotta voit luottaa meihin, mutta testitiedosto ei saa sisältää arvokasta tietoa
3-Maksu tulee suorittaa Bitcoinilla
4-Windowsin vaihtaminen tallentamatta prvkey.txt.key-tiedostoa aiheuttaa pysyvän tietojen menetyksen
Sähköpostimme: sc0rpio@mailfence.com
Jos vastausta ei löydy: scorpi0@mailfence.com .'
