BITCOINPAYMENT Ransomware
En variant av Phobos malware-familien, BITCOINPAYMENT Ransomware retter seg mot dataene til ofrene og gjør dem ubrukelige via en sterk krypteringsrutine. Operatørene av trusselen vil da forsøke å presse de berørte brukerne eller selskapene for penger. Det skal bemerkes at selv om BITCOINPAYMENT Ransomware ikke viser noen vesentlige forbedringer eller modifikasjoner sammenlignet med de andre Phobos -variantene, bør dets ødeleggende potensial ikke undervurderes.
Generelt følger BITCOINPAYMENT Ransomware den etablerte Phobos-oppførselen. Den endrer navnene på de krypterte filene ved å legge til en ID-streng, en e-postadresse og en ny utvidelse til dem. ID-strengen genereres for hvert offer, mens e-postadressen og utvidelsen er 'cleverhorse@protonmail.com' og '.BITCOINPAYMENT.' Når alle målrettede data har blitt låst av trusselen, vil BITCOINPAYMENT Ransomware fortsette å slippe to filer på den brutte enheten, kalt 'info.hta' og 'info.txt.'
Tekstfilen inneholder instruksjoner om hvordan de berørte ofrene kan kontakte angriperens Jabber-konto for å motta ytterligere detaljer. Den nevner også at opptil 3 krypterte filer med en total størrelse på mindre enn 10 MB kan sendes for å dekrypteres gratis. Imidlertid vises hele løsepengene i et popup-vindu generert fra hta-filen. Her presiserer nettkriminelle at kun betalinger gjort ved hjelp av Bitcoin-kryptovalutaen vil bli akseptert. Når det gjelder størrelsen på den krevde løsepengen, vil den tilsynelatende være basert på tiden det tar for ofrene å etablere kontakt.
Den fullstendige teksten til meldingen som vises som et popup-vindu er:
' Alle filene dine er kryptert!
Alle filene dine er kryptert på grunn av et sikkerhetsproblem med PC-en din. Hvis du ønsker å gjenopprette dem, skriv oss til e-posten cleverhorse@protonmail.com
Skriv denne ID-en i tittelen på meldingen -
Hvis det ikke er noe svar fra e-posten vår, kan du installere Jabber-klienten og skrive til oss for å støtte cleverhorse@xmpp.jp
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 1-3 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 10 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installasjonsinstruksjoner for Jabber-klienten:
Last ned jabber (Pidgin)-klienten fra hxxps://pidgin.im/download/windows/
Etter installasjonen vil Pidgin-klienten be deg om å opprette en ny konto.
Klikk "Legg til"
I "Protokoll"-feltet velger du XMPP
I "Brukernavn" - kom opp med et hvilket som helst navn
I feltet "domene" - skriv inn hvilken som helst jabber-server, det er mange av dem, for eksempel - exploit.im
Lag et passord
Sett et hake for "Opprett konto" nederst
Klikk legg til
Hvis du valgte "domene" - exploit.im, bør et nytt vindu vises der du må legge inn dataene dine på nytt:
Bruker
passord
Du må følge lenken til captchaen (der vil du se tegnene du må skrive inn i feltet nedenfor)
Hvis du ikke forstår installasjonsinstruksjonene for Pidgin-klienten, kan du finne mange installasjonsveiledninger på youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installMerk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.Tekstfilen inneholder følgende instruksjoner:
Vil du returnere filene dine?Skriv til vår xmpp-konto - cleverhorse@xmpp.jp
Den enkleste måten - registrer deg her hxxps://www.xmpp.jp/signup
Etter nedlasting av pidgin-klienten hxxps://pidgin.im/
Trykk på Legg til konto, velg protokoll xmpp og legg inn brukernavn fra xmpp.jp hvor er du registrert
Domene - xmpp.jp
Legg inn passordet ditt og trykk legg til
Når du logger inn, trykk Buddies --> Legg til Buddy--> og i Buddys brukernavn legg inn cleverhorse xmpp.jp
Etter at du vil se lagt til kontoen cleverhorse@xmpp.jp, klikker du to ganger på den og skriver meldingen din
Du kan sende oss 1-3 testfiler. Den totale størrelsen på filene må være mindre enn 10 Mb (ikke arkivert),
vi vil dekryptere dem og sende deg at vi er ekte
Hvis du har et problem med xmpp kan du skrive til vår e-post cleverhorse@protonmail.com .'
