Lizard (Phobos) ransomware

Gli esperti di sicurezza informatica hanno scoperto un'altra pericolosa minaccia malware basata sulla famigerata famiglia Phobos Ransomware . La minaccia si chiama Lizard Ransomware e può essere utilizzata per bloccare i dati archiviati sui dispositivi violati. L'algoritmo di crittografia sufficientemente potente garantisce che il ripristino dei file interessati senza la chiave di decrittografia corretta non sia praticamente fattibile.

Quando Lizard Ransomware crittografa un file, cambia drasticamente anche il nome originale di quel file. Gli utenti interessati noteranno che i loro file ora hanno una stringa ID, un indirizzo e-mail e una nuova estensione file aggiunti ai loro nomi. La stringa ID viene generata per ogni diversa vittima, mentre l'indirizzo email utilizzato dalla minaccia è 'r3wuq@tuta.io.' L'estensione del file è '.LIZARD.' Per quanto riguarda la richiesta di riscatto della minaccia, il Lizard Ransomware rilascia due diversi messaggi. Uno verrà visualizzato in una finestra pop-up creata da un file "info.hta", mentre l'altro è contenuto in un file di testo chiamato "info.txt".

Panoramica della nota di riscatto

Il file di testo contiene solo un paio di frasi. Indica principalmente alle vittime della minaccia di stabilire un contatto inviando un messaggio a "r3wuq@tuta.io" o, nel caso in cui non ci sia risposta dopo 24 ore, dovrebbero utilizzare un account Telegram a "@Online7_365". Il principale messaggio di richiesta di riscatto è quello mostrato come una finestra pop-up. Rivela che gli aggressori accetteranno solo pagamenti effettuati utilizzando la criptovaluta Bitcoin. Afferma inoltre che gli attori delle minacce sono disposti a decrittografare fino a 5 file gratuitamente. Tuttavia, i file scelti non devono contenere alcuna informazione importante e non devono superare i 4 MB di dimensione totale.

Il messaggio trovato nel file di testo è:

' !!!Tutti i tuoi file sono crittografati!!!
Per decifrarli inviare e-mail a questo indirizzo: r3wuq@tuta.io.
Se non rispondiamo entro 24 ore, invia un messaggio al telegramma: @Online7_365 '

La richiesta di riscatto visualizzata da Lizard Ransomware in una finestra pop-up è:

' Tutti i tuoi file sono stati crittografati!
Tutti i tuoi file sono stati crittografati a causa di un problema di sicurezza con il tuo PC. Se vuoi ripristinarli, scrivici all'e-mail r3wuq@tuta.io
Scrivi questo ID nel titolo del tuo messaggio -
Se non ricevi una risposta entro 24 ore, contattaci tramite l'account Telegram.org: @Online7_365
Devi pagare per la decrittazione in Bitcoin. Il prezzo dipende dalla velocità con cui ci scrivi. Dopo il pagamento ti invieremo lo strumento che decrittograferà tutti i tuoi file.
Decrittazione gratuita a garanzia
Prima di pagare puoi inviarci fino a 5 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 4 Mb (non archiviati) e i file non devono contenere informazioni preziose. (database, backup, fogli excel di grandi dimensioni, ecc.)
Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore per metodo di pagamento e prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa. '