Fájl Ransomware
A kiberbiztonsági kutatók figyelmeztetik a felhasználókat a File Ransomware nevű zsarolóprogram-fenyegetésre. A File Ransomware számos különböző fájltípust képes zárolni, hatékonyan megakadályozva a felhasználókat abban, hogy hozzáférjenek saját adataikhoz. A támadók a titkosított fájlokat tőkeáttételként használhatják, hogy pénzt csikarjanak ki áldozataiktól. Bár a File Ransomware megerősítést nyert, hogy a Phobos malware család egy változata, kárt okozó képessége továbbra is jelentős.
A File Ransomware áldozatai észreveszik, hogy az összes érintett fájl neve jelentősen módosult. Valójában a File Ransomware egy azonosító karakterláncot, egy, a támadók által ellenőrzött e-mail címet és egy „.FILE”-t ad a titkosított fájlok nevéhez. Ezenkívül a kártevő két új fájlt dob a feltört eszközre. Az „info.hta” és „info.txt” nevű fájlok feladata a támadók váltságdíj-jegyzeteinek továbbítása.
A .hta fájl egy felugró ablak forrásaként szolgál. A benne megjelenő váltságdíjat követelő üzenet azonban rendkívül rövid, és többnyire arról tartalmaz információkat, hogy az áldozatok hogyan léphetnek kapcsolatba a kiberbűnözőkkel. A feljegyzés két e-mail címet említ – „teamchic@yandex.com” és „teamchica@yandex.com”, valamint két Jabber-fiókot – „teamchic@jabb.im” és „teamchic@exploit.im”.
A File Ransomware által hagyott utasítások teljes készlete megtalálható a fenyegetés szövegfájljában. Értesíti az áldozatokat, hogy a váltságdíjként követelt összeg azon alapul, hogy milyen gyorsan jutnak el a támadóhoz. Ezenkívül csak Bitcoinban történő fizetést fogadunk el. A hackerek azt is kijelentik, hogy hajlandóak akár 5 fájl visszafejtésére ingyenesen. A kiválasztott fájlok teljes mérete azonban nem haladhatja meg a 4 MB-ot, és nem tartalmazhatnak fontos adatokat.
A szöveges fájlként kézbesített váltságdíj a következő:
' Minden fájlod titkosítva lett!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a teamchic@yandex.com e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
Ha 24 órán belül nem érkezik válasz, írjon nekünk erre az e-mail címre:teamchica@yandex.com
Ha nem érkezik válasz az e-mailünkből, telepítheti a Jabber klienst, és írjon nekünk a teamchic@jabb.im vagy teamchic@exploit.im címre.
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek azt az eszközt, amely visszafejti az összes fájlját.Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 5 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/A Jabber kliens telepítési útmutatója:
Töltse le a jabber (Pidgin) klienst innen: hxxps://pidgin.im/download/windows/
A telepítés után a Pidgin kliens új fiók létrehozását kéri.
Kattintson a "Hozzáadás" gombra
A "Protokoll" mezőben válassza az XMPP lehetőséget
A "Felhasználónév"-ben - találjon ki bármilyen nevet
A "domain" mezőbe - írjon be bármilyen jabber-szervert, sok van belőlük, például - exploit.im
Hozzon létre egy jelszót
Alul jelölje be a "Fiók létrehozása" lehetőséget.
Kattintson a Hozzáadás gombra
Ha a "domain" - exploit.im lehetőséget választotta, akkor egy új ablaknak kell megjelennie, amelyben újra meg kell adnia adatait:
Felhasználó
Jelszó
Követnie kell a captcha linkjét (ott látni fogja azokat a karaktereket, amelyeket be kell írnia az alábbi mezőbe)
Ha nem érti a Pidgin kliens telepítési utasításait, számos telepítési útmutatót találhat a youtube-on - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installFigyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.A felugró ablakként megjelenő üzenet a következő:
!!!Az összes fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: teamchic@yandex.com.
Ha 24 órán belül nem válaszolunk, küldjön e-mailt erre a címre: teamchica@yandex.com
Ha nem érkezik válasz az e-mailünkből, telepítheti a Jabber klienst, és írjon nekünk a teamchic@jabb.im vagy teamchic@exploit.im címre .
