Fil Ransomware
Cybersikkerhetsforskere advarer brukere om en skadelig løsepengevare-trussel kalt File Ransomware. File Ransomware er i stand til å låse mange forskjellige filtyper, og effektivt stoppe brukere fra å få tilgang til sine egne data. Angriperne kan bruke de krypterte filene som innflytelse for å presse penger fra ofrene sine. Selv om File Ransomware har blitt bekreftet å være en variant fra Phobos malware-familien, er dens kapasitet til å forårsake skade fortsatt betydelig.
Ofre for File Ransomware vil legge merke til at alle berørte filer har betydelig endrede navn. Faktisk legger File Ransomware til en ID-streng, en e-postadresse kontrollert av angriperne og '.FILE' til navnene på de krypterte filene. I tillegg vil skadelig programvare slippe to nye filer på den ødelagte enheten. Disse filene er kalt 'info.hta' og 'info.txt' og har i oppgave å bære angripernes løsepenger.
.hta-filen brukes som kilde for et popup-vindu. Den løsepengekrevende meldingen som vises i den er imidlertid ekstremt kort og inneholder for det meste informasjon om hvordan ofre kan kontakte nettkriminelle. Notatet nevner to e-postadresser - 'teamchic@yandex.com' og 'teamchica@yandex.com', samt to Jabber-kontoer - 'teamchic@jabb.im' og 'teamchic@exploit.im.'
Hele settet med instruksjoner som er igjen av File Ransomware, finner du i trusselens tekstfil. Den varsler ofrene om at beløpet som kreves som løsepenger vil være basert på hvor raskt de når ut til angriperne. Videre vil kun betalinger i Bitcoin bli akseptert. Hackerne oppgir også at de er villige til å dekryptere opptil 5 filer gratis. Imidlertid må de valgte filene ha en total størrelse på mindre enn 4MB og bør ikke inneholde viktige data.
Løsepengene levert som en tekstfil er:
' Alle filene dine er kryptert!
Alle filene dine er kryptert på grunn av et sikkerhetsproblem med PC-en din. Hvis du vil gjenopprette dem, skriv oss til e-posten teamchic@yandex.com
Skriv denne ID-en i tittelen på meldingen -
Hvis du ikke får svar innen 24 timer, skriv til denne e-posten:teamchica@yandex.com
Hvis det ikke er noe svar fra e-posten vår, kan du installere Jabber-klienten og skrive til oss for å støtte teamchic@jabb.im eller teamchic@exploit.im
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 5 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 4 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installasjonsinstruksjoner for Jabber-klienten:
Last ned jabber (Pidgin)-klienten fra hxxps://pidgin.im/download/windows/
Etter installasjonen vil Pidgin-klienten be deg om å opprette en ny konto.
Klikk "Legg til"
I "Protokoll"-feltet velger du XMPP
I "Brukernavn" - kom opp med et hvilket som helst navn
I feltet "domene" - skriv inn hvilken som helst jabber-server, det er mange av dem, for eksempel - exploit.im
Lag et passord
Sett et hake for "Opprett konto" nederst
Klikk legg til
Hvis du valgte "domene" - exploit.im, bør et nytt vindu vises der du må legge inn dataene dine på nytt:
Bruker
passord
Du må følge lenken til captchaen (der vil du se tegnene du må skrive inn i feltet nedenfor)
Hvis du ikke forstår installasjonsinstruksjonene for Pidgin-klienten, kan du finne mange installasjonsveiledninger på youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installMerk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.Meldingen som vises som et popup-vindu er:
!!!Alle filene dine er kryptert!!!
For å dekryptere dem send e-post til denne adressen: teamchic@yandex.com.
Hvis vi ikke svarer innen 24 timer, send e-post til denne adressen: teamchica@yandex.com
Hvis det ikke er noe svar fra e-posten vår, kan du installere Jabber-klienten og skrive til oss for å støtte teamchic@jabb.im eller teamchic@exploit.im '
