Sphinx Ransomware

Malware-forskere har avdekket en ny datakryptering Trojan på leting etter nye ofre. Denne nye trusselen ble kalt Sphinx Ransomware. Det ser ikke ut til at Sphinx Ransomware tilhører noen av de populære ransomware-familiene.

Formering og kryptering

Smittemetodene som er brukt i spredningen av denne ekle trojaneren er ikke kjent ennå. Forskere tror at skaperne av Sphinx Ransomware kan bruke e-postkampanjer med masse spam for å formidle denne trusselen. Dette vil bety at målrettede brukere vil motta en e-post som inneholder en uredelig melding og en vedlagt fil. Meldingens mål er å overbevise brukeren om at det er trygt å starte vedlegget. Vedlegget er imidlertid vanligvis et makro-laced dokument, og ved å åpne det vil Sphinx Ransomware kunne utføre det ødelagte skriptet. Selvfølgelig er det andre formeringsmetoder når det gjelder å distribuere ransomware-trusler som falske applikasjonsoppdateringer, torrent-trackere og mange flere. Sphinx Ransomware skanner brukerens data så snart det går ut over datamaskinen deres. Denne datalåsende trojanen ser etter de mest populære filtypene, så trygg på at alle bilder, lydfiler, dokumenter, videoer osv. Vil bli målrettet av Sphinx Ransomware. Deretter begynner Sphinx Ransomware å låse alle målrettede filer ved å bruke en krypteringsalgoritme. Når denne trojanen krypterer en fil, endrer den også filnavnet. Sphinx Ransomware legger til en .sphinx-utvidelse til de nylig krypterte filene. Resultatet er at en fil du har kalt 'chewing-gums.jpeg', vil bli omdøpt til 'chewing-gums.jpeg' så snart krypteringsprosessen for Sphinx Ransomware er gjennom.

Ransom-merknaden

Når Sphinx Ransomware har låst alle dataene den var etter, vil den slippe løseposten. Merknadens navn er 'HVORDAN DECRYPT FILES.txt' og det lyder:

// Du er blitt offer for Sphinx ransomware!
[*] Hva skjedde?
Nettverket ditt er kompromittert, og alle maskinene dine er kryptert!
Vi har utnyttet nettverkssårbarhetene dine og kryptert alle maskinens data med,
kraftig hybrid kryptosystem, RSA-4096 og AES-256.
Det er ingen måte å bryte krypteringen, bortsett fra med din private nettverksnøkkel og spesiell dekrypteringsprogramvare!
Den eneste måten å gjenopprette dataene dine er å kjøpe dem gjennom siden vår på Hidden Network.
[*] Hvordan få tilgang til skjult nettverk?
1. Last ned Tor Browser - https://www.torproject.org/download/
2. Start den og vent til belastningen.
3. Besøk lenken nedenfor med Tor Browser:
http://decrypt5bub45vpr.onion/7f6243f6ce9604fb762933bb4e72548e
4. Følg instruksjonene på siden vår.
[*] ADVARSEL!
TIDEN TIL Å betale er begrenset til 96 timer.
IKKE KJENTT KJENTE TIDEN TIL SØKE PÅ INTERNETT, FØR VÅR TJENESTE FJERN NETTVERKET Nøkkel.
***
HVIS DU IKKE TENKER OM BETALING!
VI SELGER DEG SELSKAPS PRIVATE DATA PÅ MØRKE MARKEDER!
DU KAN SPØRE OSS FOR BEVISNINGSPUNKT!
***'

Cyberkrevere bruker ofte alle caps når de navngir løsepenger, da det er mer sannsynlig å tiltrekke seg oppmerksomheten til offeret. Trussellederne nevner ikke hva løsepengeravgiften er. De oppgir at løsepengeravgiften skal betales på en Tor-basert betalingsside. Denne Tor-baserte betalingssiden ser imidlertid ut til å være frakoblet. Forfatterne av Sphinx Ransomware gir en frist på 96 timer etter at angrepet har funnet sted.

Unngå kontakt med nettkriminelle. Videre betyr betaling av løsepenger at pengene dine går til deres fremtidige kriminelle aktivitet. På toppen av det er det ingen garanti for at de vil sende deg dekrypteringsnøkkelen du trenger for å reversere skaden som er gjort på dataene dine. Dette er grunnen til at det er mye tryggere å stole på en anerkjent antivirusløsning for å fjerne Sphinx Ransomware fra datamaskinen din på en trygg måte.