Cip Ransomware

Infosec-forskere har identifisert en annen destruktiv ransomware-trussel som er en del av Dharma ransomware-familien. Trusselen, kalt Cip Ransowmare, følger tett den typiske Dharma-atferden uten å vise noen vesentlige avvik. Skaden det kan forårsake på de infiserte datasystemene er imidlertid ikke å undervurdere.

Cip bruker en sterk krypteringsalgoritme for å låse nesten alle offerets filer. Berørte brukere vil bli forhindret fra å få tilgang til eller på noen måte bruke deres dokumenter, PODF-er, arkiver, databaser, bilder, bilder, lyd- og videofiler osv. Under krypteringsprosessen vil Cip Ransomware også endre navnene på de målrettede filene. Trusselen holder seg til det vanlige Dharma-navnemønsteret ved først å legge til en tegnstreng som fungerer som offerets ID. Deretter legger Cip til en e-postadresse kontrollert av operatørene. Til slutt vil '.cip' bli lagt til som en ny filtype.

Ofrene vil sitte igjen med to løsepenger som inneholder instruksjoner fra angriperne. En vil bli plassert på det kompromitterte systemets skrivebord som en tekstfil kalt 'info.txt'. Det andre notatet vil vises i et nytt popup-vindu.

Cip Ransomwares krav

Målet med trusselen er å presse ut penger i bytte mot gjenoppretting av offerets data. Begge løsepengenes notater mangler imidlertid mange av de avgjørende detaljene som er observert i andre løsepenge-trusler. Meldingene nevner ikke beløpet på løsepengene, om midlene må overføres ved hjelp av en spesifikk kryptovaluta, eller om angriperne er villige til å demonstrere sin evne til å dekryptere dataene ved å låse opp et par filer gratis.

I stedet viser notatet i tekstfilen de to e-postene som ofrene kan bruke for kommunikasjon - 'ciphercrypt@tuta.io' og 'cipherc@onionmail.org.' Instruksjonene i popup-vinduet er ikke så mye nyttig. De inneholder ganske enkelt en seksjon med forskjellige advarsler som å ikke gi nytt navn til de krypterte filene eller kjøre tredjepartsdekrypteringer, da det kan skade dataene og gjøre filene ubergbare.

Popup-meldingen er:

DINE FILER ER KRYPTERT
1024
Ikke bekymre deg, du kan returnere alle filene dine!
Hvis du vil gjenopprette dem, skriv til e-posten: ciphercrypt@tuta.io ID-en din -
Hvis du ikke har svart per post innen 12 timer, skriv til oss på en annen e-post:cipherc@onionmail.org
MERK FØLGENDE!
Vi anbefaler at du kontakter oss direkte for å unngå overbetalende agenter
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Notatet som finnes i tekstfilen er:

alle dataene dine er låst hos oss
Vil du tilbake?
skriv e-post ciphercrypt@tuta.io eller cipherc@onionmail.org