Scorp Ransomware
Nettkriminelle har skapt en ny potent løsepengevaretrussel som er i stand til å forstyrre enhver datamaskin den klarer å infisere. Denne spesielle skadevare blir sporet som Scorp Ransomware, og analyse har avslørt at det er en variant som tilhører VoidCrypt malware-familien. De fleste varianter fra en enkelt truende familie er praktisk talt kopier av hverandre, med minimale forskjeller. Det reduserer imidlertid på ingen måte deres destruktive potensial.
Når den er levert til det målrettede systemet, vil Scorp Ransomware starte en krypteringsprosess som vil se at nesten alle filene som er lagret på enheten blir gjort utilgjengelige. Ofrene sitter igjen med få levedyktige alternativer når det gjelder å gjenopprette dataene deres. Som en del av sine handlinger vil trusselen også endre navnene på de berørte filene. Den vil legge til en e-postadresse, en streng eller tilfeldige tegn og '.scorp' som en ny utvidelse. E-postadressen som brukes av Scorp er 'sc0rpio@mailfence.com.'
Ransom Notes detaljer
Når trusselen er ferdig med å låse alle målrettede filtyper, vil den slippe en løsepengenota med instruksjoner for ofrene. Meldingen fra hackerne vil bli levert til det infiserte systemet som en tekstfil kalt 'Decrypt-me.txt'. Ifølge meldingen må ofrene først og fremst finne en fil som heter prvkey .txt ( kan være et tall) som skal ha blitt opprettet av løsepengevaren i mappen C:\ProgramData\. Denne filen er essensiell for gjenoppretting av krypterte data, og uten den vil selv nettkriminelle være i stand til å låse opp filene.
Løsepengene klargjør også at ofre forventes å betale løsepenger og midlene som skal overføres må være i Bitcoin-kryptovalutaen. Brukere kan også sende et par små filer (mindre enn 1 MB) som skal dekrypteres gratis. Løsepengene gjentar at den eneste måten å nå angriperne på er via e-postadressen 'sc0rpio@mailfence.com'.
Den fullstendige teksten til den løsepengekrevende meldingen er:
' Alle filene dine har blitt kryptert
Du må betale for å få tilbake filene dine
1-Gå til C:\ProgramData\ eller i dine andre stasjoner og send oss prvkey*.txt.key-fil, * kan være et tall (som dette: prvkey3.txt.key)
2-Du kan sende en fil på mindre enn 1 MB for dekrypteringstest for å stole på oss, men testfilen skal ikke inneholde verdifulle data
3-betaling bør være med Bitcoin
4-Endring av Windows uten å lagre filen prvkey.txt.key vil føre til permanent tap av data
Vår e-post: sc0rpio@mailfence.com
i tilfelle ingen svar:scorpi0@mailfence.com .'
