Lizard (Phobos) Ransomware

साइबरसुरक्षा विशेषज्ञहरूले कुख्यात Phobos रान्समवेयर परिवारमा आधारित अर्को खराब मालवेयर खतरा पत्ता लगाएका छन्। यो धम्कीलाई लिजार्ड र्यान्समवेयर नाम दिइएको छ र यसलाई उल्लंघन गरिएका उपकरणहरूमा भण्डारण गरिएको डाटा लक गर्न प्रयोग गर्न सकिन्छ। पर्याप्त बलियो इन्क्रिप्शन एल्गोरिदमले सही डिक्रिप्शन कुञ्जी बिना प्रभावित फाइलहरूको पुनर्स्थापना व्यावहारिक रूपमा सम्भव हुने छैन भन्ने सुनिश्चित गर्दछ।

जब Lizard Ransomware ले एउटा फाइललाई इन्क्रिप्ट गर्छ, यसले त्यो फाइलको मूल नाम पनि एकदमै परिवर्तन गर्छ। प्रभावित प्रयोगकर्ताहरूले याद गर्नेछन् कि तिनीहरूका फाइलहरूमा अब एउटा ID स्ट्रिङ, एउटा इमेल ठेगाना, र नयाँ फाइल विस्तार तिनीहरूको नाममा जोडिएको छ। आईडी स्ट्रिङ प्रत्येक फरक पीडितको लागि उत्पन्न हुन्छ, जबकि खतराले प्रयोग गरेको इमेल ठेगाना 'r3wuq@tuta.io' हो। फाइल विस्तार '.LIZARD' हो। धम्कीको फिरौती नोटको लागि, Lizard Ransomware ले दुई फरक सन्देशहरू छोड्छ। एउटा 'info.hta' फाइलबाट सिर्जना गरिएको पप-अप विन्डोमा देखाइनेछ, जबकि अर्को 'info.txt' नामक पाठ फाइल भित्र समावेश हुन्छ।

Ransom Note को अवलोकन

पाठ फाइलमा केही वाक्यहरू मात्र छन्। यसले मुख्यतया धम्कीका पीडितहरूलाई 'r3wuq@tuta.io' मा सन्देश पठाएर सम्पर्क स्थापना गर्न वा २४ घण्टापछि पनि कुनै जवाफ नआएमा '@Online7_365' मा रहेको टेलिग्राम खाता प्रयोग गर्न निर्देशन दिन्छ। मुख्य फिरौती माग्ने सन्देश पप-अप विन्डोको रूपमा देखाइएको सन्देश हो। यसले आक्रमणकारीहरूले Bitcoin क्रिप्टोकरेन्सी प्रयोग गरी गरिएका भुक्तानीहरू मात्र स्वीकार गर्ने कुरा प्रकट गर्दछ। यसले यो पनि भन्छ कि धम्की अभिनेताहरू 5 फाइलहरू नि: शुल्क डिक्रिप्ट गर्न इच्छुक छन्। यद्यपि, छनोट गरिएका फाइलहरूमा कुनै पनि महत्त्वपूर्ण जानकारी समावेश हुनु हुँदैन र कुल आकारमा 4MB भन्दा बढी हुनु हुँदैन।

पाठ फाइलमा फेला परेको सन्देश हो:

' !!!तपाईँका सबै फाइलहरू इन्क्रिप्टेड छन्!!!
तिनीहरूलाई डिक्रिप्ट गर्न यो ठेगानामा इ-मेल पठाउनुहोस्: r3wuq@tuta.io।
यदि हामीले 24 घण्टामा जवाफ दिएनौं भने, टेलिग्राममा सन्देश पठाउनुहोस्: @Online7_365 '

पप-अप विन्डोमा Lizard Ransomware द्वारा प्रदर्शित फिरौती नोट हो:

' तपाईंका सबै फाइलहरू इन्क्रिप्ट गरिएका छन्!
तपाइँको पीसी संग एक सुरक्षा समस्या को कारण तपाइँको सबै फाइलहरु ईन्क्रिप्टेड गरिएको छ। यदि तपाइँ तिनीहरूलाई पुनर्स्थापना गर्न चाहनुहुन्छ भने, हामीलाई इ-मेल r3wuq@tuta.io मा लेख्नुहोस्
तपाईको सन्देशको शीर्षकमा यो आईडी लेख्नुहोस् -
यदि तपाईंले 24 घण्टा भित्र प्रतिक्रिया प्राप्त गर्नुभएन भने, कृपया हामीलाई Telegram.org खाताद्वारा सम्पर्क गर्नुहोस्: @Online7_365
तपाईंले Bitcoins मा डिक्रिप्शन को लागी तिर्नुपर्छ। मूल्य तपाईं हामीलाई कति छिटो लेख्न मा निर्भर गर्दछ। भुक्तानी पछि हामी तपाईंलाई उपकरण पठाउनेछौं जसले तपाईंको सबै फाइलहरू डिक्रिप्ट गर्नेछ।
ग्यारेन्टीको रूपमा नि: शुल्क डिक्रिप्शन
भुक्तान गर्नु अघि तपाईंले हामीलाई निःशुल्क डिक्रिप्शनको लागि 5 फाइलहरू पठाउन सक्नुहुन्छ। फाइलहरूको कुल आकार 4Mb (गैर अभिलेख) भन्दा कम हुनुपर्छ, र फाइलहरूमा बहुमूल्य जानकारी हुनु हुँदैन। (डेटाबेस, ब्याकअप, ठूलो एक्सेल पानाहरू, आदि)
Bitcoins कसरी प्राप्त गर्ने
Bitcoins किन्न को लागी सबै भन्दा सजिलो तरीका LocalBitcoins साइट हो। तपाईंले दर्ता गर्नुपर्छ, 'बिटकोइनहरू किन्नुहोस्' क्लिक गर्नुहोस्, र भुक्तानी विधि र मूल्यद्वारा विक्रेता चयन गर्नुहोस्।
hxxps://localbitcoins.com/buy_bitcoins
साथै तपाइँ Bitcoins र शुरुआती गाइड किन्नको लागि अन्य ठाउँहरू यहाँ फेला पार्न सक्नुहुन्छ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
ध्यान!
एन्क्रिप्टेड फाइलहरू पुन: नामाकरण नगर्नुहोस्।
तेस्रो पक्ष सफ्टवेयर प्रयोग गरेर आफ्नो डाटा डिक्रिप्ट गर्ने प्रयास नगर्नुहोस्, यसले स्थायी डाटा हानि हुन सक्छ।
तेस्रो पक्षहरूको सहयोगमा तपाईंको फाइलहरूको डिक्रिप्शनले मूल्य बढाउन सक्छ (तिनीहरूले हाम्रो शुल्क थप्छन्) वा तपाईं घोटालाको शिकार बन्न सक्नुहुन्छ। '