Cryptonite Ransomware
Cryptonite Ransomware draudi var nebūt pilnīgi unikāli - infosec pētnieki ir apstiprinājuši, ka tas ir Chaos Ransomware variants, taču tas nepadara to mazāk bīstamu. Tiklīdz draudi tiks izpildīti inficētajos datoros, tie veiks spēcīgu šifrēšanas procedūru, kas pārvērš lielāko daļu tur saglabāto datu nepieejamā un nelietojamā stāvoklī. Tiks ietekmēti faili, piemēram, dokumenti, PDF faili, attēli, fotoattēli, arhīvi, datu bāzes un daudz kas cits, un atjaunošana, nezinot pareizās atšifrēšanas atslēgas, būs praktiski neiespējama.
Atšķirībā no vairuma izpirkuma programmatūras draudu, Cryptonite neizmanto konsekventu rakstzīmju virkni, lai atzīmētu šifrētos failus. Tā vietā tas ģenerēs citu 4 rakstzīmju virkni un pievienos to sākotnējo failu nosaukumiem. Uzlauzto ierīču darbvirsmas fons tiks aizstāts ar jaunu, kurā būs īss ziņojums franču valodā. Izpirkuma piezīmi draudi nometa kā teksta failu ar nosaukumu “lisezmoi.txt”. arī tiks pilnībā rakstīts franču valodā.
Tulkojot Cryptonite ziņojumu, kas prasa izpirkuma maksu, atklājas, ka tā operatori cenšas no upuriem izspiest 0,51 BTC (Bitcoins). Saskaņā ar piezīmi, izpirkuma maksai jābūt precīzi vienādai ar USD 13 457,65, taču tas vairs nav precīzs. Kriptovalūtas ļoti nepastāvīgā rakstura dēļ pēc pašreizējā maiņas kursa izpirkuma maksa ir aptuveni USD 10 500 vērtībā.
Izpirkuma vēstulē draudu upuri tiek brīdināti, ka viņiem ir 24 stundas, lai nosūtītu naudu uz norādīto kriptonauda adresi. Ja tas prasīs ilgāku laiku, viņi sāks zaudēt 2 šifrētus failus ik pēc 24 stundām. Turklāt pēc 7 dienām izpirkuma summa tiks palielināta līdz 16 000 USD. Viena e-pasta adrese — “decrypt5058@proton.me” ir vienīgais nodrošinātais veids, kā izveidot saziņu ar kibernoziedzniekiem.
Pilns piezīmes teksts franču valodā ir šāds:
“Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE et vous ne serez pas capable de décryptés vos fichiers sans la clé de decryptage.
Pour obtenir la clé de décryptage de vos fichiers et supprimer le virus veuillez nous contacter sur notre adresse emails ci-dessous.
Sazināties: decrypt5058@proton.me
Vous devez payer une rançon et cette rançon ne peut être payée que en bitcoin à l'adresse indiqué ci-dessous.
Montant: 13457,65 $ = 0,51 btc
Adrese: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVChaque 24h deux fichiers seront sélectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ à 16000$
Chaque fichier que vous éssayerez de décrypter sans la clé endmmagera le fichier et vous le perdrez à jamais.
