BITCOINPAYMENT Ransomware
Una variante della famiglia di malware Phobos, BITCOINPAYMENT Ransomware prende di mira i dati delle sue vittime e li rende inutilizzabili tramite una forte routine di crittografia. Gli operatori della minaccia tenteranno quindi di estorcere denaro agli utenti o alle aziende interessati. Va notato che sebbene BITCOINPAYMENT Ransomware non mostri miglioramenti o modifiche significative rispetto alle altre varianti di Phobos , il suo potenziale distruttivo non deve essere sottovalutato.
In generale, il BITCOINPAYMENT Ransomware segue il comportamento stabilito di Phobos. Modifica i nomi dei file crittografati aggiungendovi una stringa ID, un indirizzo email e una nuova estensione. La stringa ID viene generata per ogni vittima, mentre l'indirizzo email e l'estensione sono "cleverhorse@protonmail.com" e ".BITCOINPAYMENT". Quando tutti i dati presi di mira sono stati bloccati dalla minaccia, BITCOINPAYMENT Ransomware procederà a rilasciare due file sul dispositivo violato, denominati "info.hta" e "info.txt".
Il file di testo contiene istruzioni su come le vittime colpite possono contattare l'account Jabber dell'attaccante per ricevere ulteriori dettagli. Indica inoltre che è possibile inviare gratuitamente fino a 3 file crittografati con una dimensione totale inferiore a 10 MB. Tuttavia, la richiesta di riscatto completa viene visualizzata in una finestra pop-up generata dal file hta. Qui, i cybercriminali chiariscono che saranno accettati solo i pagamenti effettuati utilizzando la criptovaluta Bitcoin. Per quanto riguarda l'entità del riscatto richiesto, a quanto pare si baserà sul tempo impiegato dalle vittime per stabilire un contatto.
Il testo completo del messaggio visualizzato come finestra pop-up è:
' Tutti i tuoi file sono stati crittografati!
Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'e-mail intelligenthorse@protonmail.com
Scrivi questo ID nel titolo del tuo messaggio -
Se non c'è risposta dalla nostra posta, puoi installare il client Jabber e scriverci a supporto di cleverhorse@xmpp.jp
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decrittograferà tutti i tuoi file.Decrittazione gratuita a garanzia
Prima di pagare puoi inviarci fino a 1-3 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 10 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli excel di grandi dimensioni, ecc.)Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore per metodo di pagamento e prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Istruzioni per l'installazione del client Jabber:
Scarica il client jabber (Pidgin) da hxxps://pidgin.im/download/windows/
Dopo l'installazione, il client Pidgin ti chiederà di creare un nuovo account.
Fai clic su "Aggiungi"
Nel campo "Protocollo", seleziona XMPP
In "Nome utente" - trova qualsiasi nome
Nel campo "dominio" - inserisci qualsiasi jabber-server, ce ne sono molti, ad esempio - exploit.im
Crea una password
In basso, metti un segno di spunta "Crea account"
Fare clic su Aggiungi
Se hai selezionato "dominio" - exploit.im, dovrebbe apparire una nuova finestra in cui dovrai reinserire i tuoi dati:
Utente
parola d'ordine
Dovrai seguire il link al captcha (lì vedrai i caratteri che devi inserire nel campo sottostante)
Se non capisci le nostre istruzioni di installazione del client Pidgin, puoi trovare molti tutorial di installazione su youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAttenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.Il file di testo contiene le seguenti istruzioni:
Vuoi restituire i tuoi file?Scrivi sul nostro account xmpp - cleverhorse@xmpp.jp
Il modo più semplice: registrati qui hxxps://www.xmpp.jp/signup
Dopo aver scaricato il client pidgin hxxps://pidgin.im/
Premi Aggiungi account, scegli il protocollo xmpp e inserisci il nome utente da xmpp.jp dove ti stai registrando
Dominio - xmpp.jp
Inserisci la tua password e premi aggiungi
Quando accedi premi Buddies --> Aggiungi Buddy --> e nel nome utente Buddys metti cleverhorse xmpp.jp
Dopo che vedrai l'account aggiunto intelligenthorse@xmpp.jp, fai clic due volte su di esso e scrivi il tuo messaggio
Puoi inviarci 1-3 file di prova. La dimensione totale dei file deve essere inferiore a 10Mb (non archiviati),
li decrittograferemo e ti invieremo che siamo reali
Se hai un problema con xmpp puoi scrivere alla nostra mail intelligenthorse@protonmail.com .'
