Lizard (Phobos) Ransomware

Pakar keselamatan siber telah menemui satu lagi ancaman malware jahat berdasarkan keluarga Phobos Ransomware yang terkenal. Ancaman itu dinamakan Lizard Ransomware dan ia boleh digunakan untuk mengunci data yang disimpan pada peranti yang dilanggar. Algoritma penyulitan yang cukup kuat memastikan pemulihan fail yang terjejas tanpa kunci penyahsulitan yang betul tidak akan dapat dilaksanakan secara praktikal.

Apabila Lizard Ransomware menyulitkan fail, ia juga menukar secara drastik nama asal fail tersebut. Pengguna yang terjejas akan menyedari bahawa fail mereka kini mempunyai rentetan ID, alamat e-mel dan sambungan fail baharu yang dilampirkan pada nama mereka. Rentetan ID dijana untuk setiap mangsa yang berbeza, manakala alamat e-mel yang digunakan oleh ancaman ialah 'r3wuq@tuta.io.' Sambungan fail ialah '.LIZARD.' Bagi nota tebusan ancaman itu, Lizard Ransomware menjatuhkan dua mesej berbeza. Satu akan dipaparkan dalam tetingkap pop timbul yang dibuat daripada fail 'info.hta', manakala satu lagi terkandung di dalam fail teks bernama 'info.txt.'

Gambaran Keseluruhan Nota Tebusan

Fail teks mengandungi hanya beberapa ayat. Ia terutamanya mengarahkan mangsa ancaman untuk mewujudkan hubungan dengan menghantar mesej 'r3wuq@tuta.io,' atau, sekiranya tiada jawapan selepas 24 jam, mereka harus menggunakan akaun Telegram di '@Online7_365.' Mesej menuntut wang tebusan utama ialah yang ditunjukkan sebagai tetingkap timbul. Ia mendedahkan bahawa penyerang hanya akan menerima pembayaran yang dibuat menggunakan mata wang kripto Bitcoin. Ia juga menyatakan bahawa pelaku ancaman sanggup menyahsulit sehingga 5 fail secara percuma. Walau bagaimanapun, fail yang dipilih mestilah tidak mengandungi sebarang maklumat penting dan tidak boleh melebihi 4MB dalam jumlah saiz.

Mesej yang terdapat dalam fail teks ialah:

' !!!Semua fail anda disulitkan!!!
Untuk menyahsulitnya hantar e-mel ke alamat ini: r3wuq@tuta.io.
Jika kami tidak menjawab dalam 24j., hantar mesej ke telegram: @Online7_365 '

Nota tebusan yang dipaparkan oleh Lizard Ransomware dalam tetingkap pop timbul ialah:

' Semua fail anda telah disulitkan!
Semua fail anda telah disulitkan kerana masalah keselamatan dengan PC anda. Jika anda ingin memulihkannya, tulis kami ke e-mel r3wuq@tuta.io
Tulis ID ini dalam tajuk mesej anda -
Jika anda tidak menerima jawapan dalam masa 24 jam, sila hubungi kami melalui akaun Telegram.org: @Online7_365
Anda perlu membayar untuk penyahsulitan dalam Bitcoins. Harga bergantung pada kelajuan anda menulis kepada kami. Selepas pembayaran kami akan menghantar alat yang akan menyahsulit semua fail anda.
Penyahsulitan percuma sebagai jaminan
Sebelum membayar, anda boleh menghantar sehingga 5 fail kepada kami untuk penyahsulitan percuma. Jumlah saiz fail mestilah kurang daripada 4Mb (tidak diarkibkan), dan fail tidak boleh mengandungi maklumat berharga. (pangkalan data, sandaran, helaian excel besar, dsb.)
Bagaimana untuk mendapatkan Bitcoins
Cara paling mudah untuk membeli bitcoin ialah tapak LocalBitcoins. Anda perlu mendaftar, klik 'Beli bitcoin', dan pilih penjual mengikut kaedah pembayaran dan harga.
hxxps://localbitcoins.com/buy_bitcoins
Anda juga boleh mencari tempat lain untuk membeli Bitcoin dan panduan pemula di sini:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Perhatian!
Jangan menamakan semula fail yang disulitkan.
Jangan cuba menyahsulit data anda menggunakan perisian pihak ketiga, ia boleh menyebabkan kehilangan data kekal.
Penyahsulitan fail anda dengan bantuan pihak ketiga boleh menyebabkan harga meningkat (mereka menambahkan bayaran mereka kepada kami) atau anda boleh menjadi mangsa penipuan. '