BITCOINPAYMENT 랜섬웨어

Phobos 악성코드 제품군의 변종인 BITCOINPAYMENT Ransomware는 피해자의 데이터를 표적으로 삼고 강력한 암호화 루틴을 통해 데이터를 사용할 수 없게 만듭니다. 그런 다음 위협 운영자는 영향을 받는 사용자나 회사를 금전적으로 갈취하려고 시도합니다. BITCOINPAYMENT Ransomware는 다른 Phobos 변종과 비교할 때 상당한 개선이나 수정을 나타내지 않지만 그 파괴적인 잠재력을 과소평가해서는 안 됩니다.

일반적으로 BITCOINPAYMENT Ransomware는 확립된 Phobos 행동을 따릅니다. ID 문자열, 이메일 주소 및 새 확장자를 추가하여 암호화된 파일의 이름을 수정합니다. ID 문자열은 각 피해자에 대해 생성되며 이메일 주소와 확장자는 'cleverhorse@protonmail.com' 및 '.BITCOINPAYMENT'입니다. 모든 표적 데이터가 위협에 의해 잠기면 BITCOINPAYMENT Ransomware는 침해된 장치에 'info.hta' 및 'info.txt'라는 두 개의 파일을 계속해서 드롭합니다.

텍스트 파일에는 영향을 받는 피해자가 공격자의 Jabber 계정에 연락하여 추가 세부 정보를 받을 수 있는 방법에 대한 지침이 포함되어 있습니다. 또한 전체 크기가 10MB 미만인 암호화된 파일을 최대 3개까지 전송하여 무료로 복호화할 수 있다고 언급합니다. 그러나 전체 몸값은 hta 파일에서 생성된 팝업 창에 표시됩니다. 여기에서 사이버 범죄자들은 Bitcoin 암호 화폐를 사용하여 이루어진 지불만 허용된다는 점을 분명히 합니다. 요구되는 몸값의 규모는 피해자들이 연락을 취하는 데 걸리는 시간을 기준으로 할 것으로 보인다.

팝업 창으로 표시되는 메시지의 전체 텍스트는 다음과 같습니다.

' 모든 파일이 암호화되었습니다!

PC의 보안 문제로 인해 모든 파일이 암호화되었습니다. 그것들을 복원하고 싶다면 smarthorse@protonmail.com으로 이메일을 보내주십시오.
메시지 제목에 이 ID를 쓰세요 -
메일에서 응답이 없으면 Jabber 클라이언트를 설치하고 smarthorse@xmpp.jp를 지원하기 위해 편지를 보낼 수 있습니다.
비트코인으로 복호화 비용을 지불해야 합니다. 가격은 얼마나 빨리 우리에게 편지를 쓰느냐에 달려 있습니다. 결제 후 모든 파일의 암호를 해독하는 도구를 보내드립니다.

보증으로 무료 복호화
지불하기 전에 무료 암호 해독을 위해 최대 1-3개의 파일을 보낼 수 있습니다. 파일의 총 크기는 10Mb(아카이브되지 않음) 미만이어야 하며 파일에는 중요한 정보가 포함되어서는 안 됩니다. (데이터베이스, 백업, 대용량 엑셀 시트 등)

비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 회원가입을 하고 '비트코인 구매'를 클릭하고 결제수단과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 Bitcoins 및 초보자 가이드를 구입할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Jabber 클라이언트 설치 지침:
hxxps://pidgin.im/download/windows/에서 Jabber(Pidgin) 클라이언트를 다운로드합니다.
설치 후 Pidgin 클라이언트는 새 계정을 만들라는 메시지를 표시합니다.
"추가"를 클릭하십시오
"프로토콜" 필드에서 XMPP를 선택합니다.
"사용자 이름"에서 - 아무 이름이나 생각해 보세요.
"도메인"필드에 jabber-server를 입력하십시오. 예를 들어 exploit.im이 많이 있습니다.
비밀번호 만들기
하단에 "계정 만들기"를 선택하십시오.
추가 클릭
"도메인" - exploit.im을 선택한 경우 데이터를 다시 입력해야 하는 새 창이 나타납니다.
사용자
비밀번호
보안 문자에 대한 링크를 따라가야 합니다(아래 필드에 입력해야 하는 문자가 표시됨)
Pidgin 클라이언트 설치 지침을 이해하지 못하는 경우 YouTube에서 많은 설치 자습서를 찾을 수 있습니다. hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터를 해독하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 파일 암호를 해독하면 가격이 인상되거나(당사에 수수료가 추가됨) 사기의 피해자가 될 수 있습니다.

텍스트 파일에는 다음 지침이 포함되어 있습니다.

파일을 반환하고 싶으신가요? xmpp 계정으로 쓰기 - smarthorse@xmpp.jp
가장 쉬운 방법 - 여기에서 등록하십시오. hxxps://www.xmpp.jp/signup
pidgin 클라이언트 hxxps://pidgin.im/ 다운로드 후
계정 추가를 누르고 프로토콜 xmpp를 선택하고 가입한 xmpp.jp의 사용자 이름을 입력합니다.
도메인 - xmpp.jp
비밀번호를 입력하고 추가를 눌러주세요
로그인할 때 Buddies --> Add Buddy --> Buddys 사용자 이름에 smarthorse xmpp.jp를 입력하십시오.
추가된 계정이 표시되면 smarthorse@xmpp.jp를 두 번 클릭하고 메시지를 작성합니다.
1-3개의 테스트 파일을 보낼 수 있습니다. 파일의 총 크기는 10Mb(아카이브되지 않음) 미만이어야 합니다.
우리는 그것들을 해독하고 우리가 진짜임을 당신에게 보낼 것입니다
xmpp에 문제가 있으면 smarthorse@protonmail.com으로 메일을 보내주십시오 .'