Magic Ransomware
A Magic Ransomware a Phobos Ransomware család egyik változata. A Magic Ransomware nem sokat változott a Phobos Ransomware család többi tagjához képest. Mindazonáltal továbbra is aktív, hogy sok kárt okozhat a felhasználóknak és az általa megfertőzött gépeknek, és a Magic Ransomware továbbra is erős fenyegetést jelent, amely hatékonyan távol tarthatja a felhasználókat saját számítógépeiktől. Egy feltörhetetlen titkosítási algoritmus alkalmazásával a Magic Ransomware szinte az összes, a feltört számítógépen tárolt fájlt elérhetetlenné és használhatatlanná teszi. A Magic Ransomware ezután megpróbálja kicsikarni áldozatait azzal, hogy megígéri, hogy váltságdíj fejében kicseréli a zárolt adatok felszabadításához szükséges visszafejtő kulcsot.
A Magic Ransomware drasztikusan megváltoztatja az érintett fájlok nevét. Minden titkosított fájl eredeti nevéhez új fájlkiterjesztést fűz, „.magic”. Az e-mail címek, amelyeket a Magic Ransomware mögött álló emberekkel való kapcsolatfelvételhez használnak, a következők: 'midnight@email.tg és dark_day@cyberfear.com. Lehetőséget ad a Tox chat használatára is. Amint a titkosítási rutin készen áll, a Magic Ransomware eldobja váltságdíj-levelét utasításokkal az áldozatoknak. Az üzenetnek két változata van: egy rövidebb, amely az "info.txt" nevű szöveges fájlokban található, és egy kibővítettebb utasításkészlet, az info.hta, amely egy felugró ablakban jelenik meg.
A Magic Ransomware-t irányító hackerek által követelt pontos összeget nem említik, de azt állítják, hogy az összeg attól függ, milyen gyorsan kezdeményezik az áldozatok a kommunikációt. A Magic Ransomware áldozatai három nem fontos fájlt csatolhatnak üzeneteikhez, amelyek mérete nem haladja meg a 4 MB-ot. A hackerek ingyenesen visszafejtik ezeket a fájlokat, feltehetően annak demonstrálására, hogy képesek visszaállítani az összes zárolt adatot. Továbbra sem ajánlott tárgyalásokat folytatni kiberbűnözőkkel, mivel ez további biztonsági fenyegetéseknek teheti ki a felhasználókat.
A Magic Ransomware által létrehozott "info.hta" fájlban megjelenő szöveg a következő:
'Minden fájlja titkosítva van!
A számítógépével kapcsolatos biztonsági probléma miatt minden fájlja titkosítva lett. Ha vissza szeretné állítani őket, írjon nekünk a midnight@email.tg e-mail címre
Írja be ezt az azonosítót az üzenet címébe
Ha 24 órán belül nem érkezik válasz, írjon nekünk erre az e-mail címre: dark_day@cyberfear.com
Vagy írjon nekünk a TOX Messengernek: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A
A TOX messenger programot innen töltheti le: hxxps://tox.chat/
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.
Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)
Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.Az "info.txt" fájl tartalma:
!!!Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön e-mailt erre a címre: midnight@email.tg.
Ha 24 órán belül nem válaszolunk, küldjön e-mailt erre a címre: dark_day@cyberfear.com
Vagy írjon nekünk a TOX Messengernek: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A'
