Arch Ransomware
Infosec-onderzoekers hebben een nieuwe gevaarlijke ransomware-dreiging ontdekt die in het wild is losgelaten. De dreiging, genaamd Arch Ransomware, is geclassificeerd als een variant die tot de Makop-ransomwarefamilie behoort. Gebruikers die zijn geïnfecteerd met Arch Ransomware, zullen effectief worden uitgesloten van hun eigen bestanden. Inderdaad, bijna alle bestanden op computersystemen die door de dreiging zijn gecompromitteerd, zullen ontoegankelijk worden gemaakt via een versleutelingsroutine die sterke cryptografische algoritmen gebruikt.
Arch Ransomware vertoont de gebruikelijke eigenschappen die verband houden met dit type malware. Ten eerste versleutelt het de beoogde bestandstypen, daarna wijzigt het de namen van de getroffen bestanden door er een reeks tekens aan toe te voegen, gevolgd door een e-mailadres onder controle van de hackers, en tot slot een nieuwe bestandsextensie. Het e-mailadres is 'bobwhite@msgsafe.io' terwijl de extensie '.arch' is. De volgende stap is om het losgeldbriefje met instructies voor de slachtoffers te laten vallen. De dreiging doet dit door tekstbestanden met de naam 'readme-warning.txt' te maken in alle mappen met gecodeerde gegevens.
De notitie van Arch Ransomware is gestructureerd als een FAQ, en volgens deze informatie willen de cybercriminelen losgeld ontvangen in Bitcoin als ze de decoderingssoftware willen verzenden die mogelijk de vergrendelde bestanden zou kunnen herstellen. Betrokken gebruikers kunnen contact opnemen door een van de twee e-mails in de notitie te verzenden - de ene is hetzelfde als de e-mail die in de namen van de gecodeerde bestanden is geplaatst, terwijl de andere 'bobwhite@cock.li' is. Om te demonstreren dat ze de bestanden van de gebruiker kunnen ontsleutelen, staan de hackers toe dat maximaal twee bestanden aan het e-mailbericht worden toegevoegd. De bestanden mogen geen databases zijn en mogen niet groter zijn dan 1 MB.
De volledige tekst van de notitie van Arch Ransomware is:
::: Groeten :::
Kleine veelgestelde vragen:
.1.
Vraag: Wat gebeurt er?
A: Uw bestanden zijn versleuteld en hebben nu de extensie "arch". De bestandsstructuur was niet beschadigd, we hebben er alles aan gedaan om dit niet te laten gebeuren..2.
Vraag: Hoe bestanden herstellen?
A: Als u uw bestanden wilt decoderen, moet u in bitcoins betalen..3.
Vraag: Hoe zit het met garanties?
A: Het is maar een bedrijf. We geven absoluut niets om jou en je deals, behalve om voordelen te krijgen. Als we ons werk en onze verplichtingen niet doen, zal niemand met ons samenwerken. Het is niet in ons belang.
Om de mogelijkheid te controleren om bestanden te retourneren, kunt u ons 2 bestanden sturen met EENVOUDIGE extensies (jpg, xls, doc, enz ... geen databases!) En kleine formaten (max. 1 mb), we zullen ze decoderen en terugsturen aan u. Dat is onze garantie..4.
Vraag: Hoe kunt u contact met u opnemen?
A: U kunt ons schrijven naar onze mailbox: bobwhite@msgsafe.io of bobwhite@cock.li.5.
V: Hoe verloopt het decoderingsproces na betaling?
A: Na betaling sturen we u ons scanner-decoderprogramma en gedetailleerde instructies voor gebruik. Met dit programma kun je al je versleutelde bestanden decoderen..6.
Vraag: Als ik slechte mensen zoals jij niet wil betalen?
A: Als u niet wilt meewerken aan onze service - voor ons doet het er niet toe. Maar u verliest uw tijd en gegevens, want alleen wij hebben de privésleutel. In de praktijk is tijd veel waardevoller dan geld.:::PAS OP:::
Probeer NIET om versleutelde bestanden zelf te wijzigen!
Als u software van derden wilt gebruiken om uw gegevens of antivirusoplossingen te herstellen, maak dan een back-up van alle gecodeerde bestanden!
Elke wijziging in gecodeerde bestanden kan leiden tot schade aan de privésleutel en als gevolg daarvan het verlies van alle gegevens.
