Lizard (Phobos) Ransomware

A kiberbiztonsági szakértők egy újabb rosszindulatú fenyegetést tártak fel, amely a hírhedt Phobos Ransomware családon alapul. A fenyegetés a Lizard Ransomware nevet kapta, és a feltört eszközökön tárolt adatok zárolására használható. A kellően erős titkosítási algoritmus biztosítja, hogy az érintett fájlok visszaállítása megfelelő visszafejtési kulcs nélkül gyakorlatilag ne legyen megvalósítható.

Amikor a Lizard Ransomware titkosít egy fájlt, akkor a fájl eredeti nevét is drasztikusan megváltoztatja. Az érintett felhasználók észreveszik, hogy fájljaik nevükhöz azonosító karakterlánc, e-mail cím és új fájlkiterjesztés tartozik. Az azonosító karakterlánc minden egyes áldozathoz jön létre, míg a fenyegetés által használt e-mail cím „r3wuq@tuta.io”. A fájl kiterjesztése '.LIZARD'. Ami a fenyegetés váltságdíját illeti, a Lizard Ransomware két különböző üzenetet küld. Az egyik egy „info.hta” fájlból létrehozott előugró ablakban jelenik meg, a másik pedig egy „info.txt” nevű szövegfájlban található.

A Ransom Note áttekintése

A szövegfájl mindössze néhány mondatot tartalmaz. Főleg arra utasítja a fenyegetés áldozatait, hogy lépjenek kapcsolatba az „r3wuq@tuta.io” üzenettel, vagy ha 24 órán belül nem érkezik válasz, használjanak egy Telegram-fiókot a „@Online7_365” címen. A váltságdíjat követelő fő üzenet az előugró ablakban látható. Kiderül, hogy a támadók csak a Bitcoin kriptovalutával végrehajtott fizetéseket fogadják el. Azt is kijelenti, hogy a fenyegetés szereplői hajlandóak legfeljebb 5 fájl titkosítását ingyenesen visszafejteni. A kiválasztott fájlok azonban nem tartalmazhatnak fontos információkat, és nem haladhatják meg a 4 MB-ot.

A szöveges fájlban található üzenet a következő:

' !!!Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: r3wuq@tuta.io.
Ha 24 órán belül nem válaszolunk, küldjön üzenetet a távirati címre: @Online7_365 '

A Lizard Ransomware által egy felugró ablakban megjelenített váltságdíj megjegyzés a következő:

' Minden fájlod titkosítva lett!
Minden fájlja titkosítva lett a számítógépével kapcsolatos biztonsági probléma miatt. Ha vissza szeretné állítani őket, írjon nekünk az r3wuq@tuta.io e-mail címre
Írja be ezt az azonosítót az üzenet címébe -
Ha nem kap választ 24 órán belül, kérjük, vegye fel velünk a kapcsolatot a Telegram.org fiókon keresztül: @Online7_365
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek azt az eszközt, amely visszafejti az összes fájlt.
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 5 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes mérete nem haladhatja meg a 4 Mb-ot (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan lehet Bitcoint szerezni
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a „Bitcoin vásárlása” gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat. '