BITCOINPAYMENT Ransomware
A Phobos malware család egyik változata, a BITCOINPAYMENT Ransomware az áldozatok adatait célozza meg, és egy erős titkosítási rutin révén használhatatlanná teszi azokat. A fenyegetés üzemeltetői ezután megpróbálják pénzért kicsikarni az érintett felhasználókat vagy cégeket. Meg kell jegyezni, hogy bár a BITCOINPAYMENT Ransomware nem mutat semmilyen jelentős fejlesztést vagy módosítást a többi Phobos változathoz képest, pusztító potenciálját nem szabad alábecsülni.
Általában a BITCOINPAYMENT Ransomware a megállapított Phobos viselkedést követi. Módosítja a titkosított fájlok nevét egy azonosító karakterlánc, egy e-mail cím és egy új kiterjesztéssel. Az azonosító karakterlánc minden áldozathoz létrejön, míg az e-mail cím és a kiterjesztés: „cleverhorse@protonmail.com” és „.BITCOINPAYMENT”. Amikor a fenyegetés zárolta az összes célzott adatot, a BITCOINPAYMENT Ransomware két fájlt dob a feltört eszközre, amelyek neve „info.hta” és „info.txt”.
A szöveges fájl utasításokat tartalmaz arra vonatkozóan, hogy az érintett áldozatok hogyan léphetnek kapcsolatba a támadó Jabber-fiókjával további részletekért. Azt is megemlíti, hogy legfeljebb 3, 10 MB-nál kisebb teljes méretű titkosított fájl küldhető ingyenesen visszafejtésre. A teljes váltságdíj-jegyzet azonban megjelenik a hta fájlból generált felugró ablakban. Itt a kiberbűnözők tisztázzák, hogy csak a Bitcoin kriptovalutával végzett fizetések fogadhatók el. Ami a követelt váltságdíj nagyságát illeti, az nyilvánvalóan azon fog alapulni, hogy mennyi időbe telik az áldozatoknak a kapcsolatfelvételhez.
A felugró ablakként megjelenő üzenet teljes szövege:
' Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a cleverhorse@protonmail.com e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
Ha nem érkezik válasz az e-mailünkből, telepítheti a Jabber klienst, és írjon nekünk a cleverhorse@xmpp.jp címre.
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.Garanciaként ingyenes visszafejtés
Fizetés előtt akár 1-3 fájlt is elküldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 10 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/A Jabber kliens telepítési útmutatója:
Töltse le a jabber (Pidgin) klienst innen: hxxps://pidgin.im/download/windows/
A telepítés után a Pidgin kliens új fiók létrehozását kéri.
Kattintson a "Hozzáadás" gombra
A "Protokoll" mezőben válassza az XMPP lehetőséget
A "Felhasználónév"-ben - találjon ki bármilyen nevet
A "domain" mezőbe - írjon be bármilyen jabber-szervert, sok van belőlük, például - exploit.im
Hozzon létre egy jelszót
Alul jelölje be a "Fiók létrehozása" lehetőséget.
Kattintson a Hozzáadás gombra
Ha a "domain" - exploit.im lehetőséget választotta, akkor egy új ablaknak kell megjelennie, amelyben újra meg kell adnia adatait:
Felhasználó
Jelszó
Követnie kell a captcha linkjét (ott látni fogja azokat a karaktereket, amelyeket be kell írnia az alábbi mezőbe)
Ha nem érti a Pidgin kliens telepítési utasításait, számos telepítési útmutatót találhat a youtube-on - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installFigyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.A szöveges fájl a következő utasításokat tartalmazza:
Szeretné visszaküldeni a fájlokat? Írjon xmpp fiókunkba: cleverhorse@xmpp.jp
A legegyszerűbb módja: regisztráljon itt: hxxps://www.xmpp.jp/signup
A pidgin kliens letöltése után hxxps://pidgin.im/
Nyomja meg a Fiók hozzáadása gombot, válassza ki az xmpp protokollt, és írja be a felhasználónevet az xmpp.jp fájlból, ahol regisztrál
Domain - xmpp.jp
Adja meg jelszavát, és nyomja meg a hozzáadás gombot
Amikor bejelentkezik, nyomja meg a Buddies --> Add Buddy --> és a Buddys felhasználónévbe írja be a cleverhorse xmpp.jp parancsot
Miután megjelenik a hozzáadott fiók cleverhorse@xmpp.jp, kattintson rá kétszer, és írja meg az üzenetet
1-3 tesztfájlt küldhet nekünk. A fájlok teljes méretének 10 Mb-nál kisebbnek kell lennie (nem archivált),
visszafejtjük őket, és elküldjük neked, hogy valódiak vagyunk
Ha problémája van az xmpp-vel, írjon a cleverhorse@protonmail.com e-mail címünkre .'
