ARCrypter-ransomware
Computers die zijn geïnfecteerd door de ARCrypter Ransomware-dreiging zullen worden onderworpen aan gegevensversleuteling. Een aanzienlijk deel van de bestanden die op de apparaten zijn opgeslagen, wordt vergrendeld en in een onbruikbare staat achtergelaten. Hoewel de meeste veelgebruikte bestandstypen worden gecodeerd, zal ARCrypter voorkomen dat verschillende, belangrijke bestandstypen worden beïnvloed, om ervoor te zorgen dat het betrokken apparaat geen kritieke systeemfouten ervaart. De dreiging heeft geen invloed op bestanden met de volgende extensies: .exe, .dll, .bat, .ini, .blf, .log, .msi, .sys. en anderen.
Slachtoffers zullen merken dat aan alle vergrendelde bestanden '.crypted' aan hun oorspronkelijke naam is gekoppeld. In tegenstelling tot de meeste ransomware-bedreigingen, levert ARCrypter zijn losgeldbrief nog voordat de coderingsroutine van de dreiging is geactiveerd. Het bericht waarin losgeld wordt gevraagd met instructies van de aanvallers, wordt neergezet als een tekstbestand met de naam 'readme_for_unlock.txt'.
Volgens het bericht van de cybercriminelen zijn er gevoelige gegevens verzameld van de gehackte apparaten en zullen ze zogenaamd worden gepubliceerd aan het publiek of worden verkocht aan geïnteresseerde partijen als de slachtoffers weigeren het gevraagde losgeld te betalen. Slachtoffers krijgen 3 dagen de tijd om contact op te nemen met de dreigingsactoren, anders wordt de decoderingssleutel voor hun gegevens verwijderd. De losgeldbrief waarschuwt ook tegen het afsluiten van de getroffen apparaten of het proberen de vergrendelde bestanden te herstellen met tools van derden, omdat dit permanente schade aan de gegevens van de bestanden kan veroorzaken.
De volledige tekst van de opmerking van ARCrypter Ransomware is:
'HALLO
---> Let op <----NIET DOEN:
--Wijzig, hernoem, kopieer of verplaats bestanden of u kunt ze BESCHADIGEN en decodering zal onmogelijk zijn.
--Gebruik een derde partij of openbare decryptiesoftware, het kan ook bestanden BESCHADIGEN.
-- Sluit uw systeem af of reset het, het kan bestanden BESCHADIGEN.
--Huur eventuele onderhandelaars van derden in (herstel/politie enz.).Uw veiligheidsperimeter is geschonden.
ooooKritisch belangrijke servers en hosts waren volledig VERSLEUTELD.
Dit LEESMIJ-BESTAND is hier voor u om u onze aanwezigheid in uw netwerk te laten zien en stiltes over hacken en lekken te voorkomen.
We hebben ook UW MEEST GEVOELIGE Gegevens GEDOWNLOAD voor het geval u NIET BETAALT,
dan wordt alles GEPUBLICEERD in Media en/of VERKOCHT aan een derde partij.
oooooo
WAT ZOU JE MOETEN DOEN:
---> U dient zo spoedig mogelijk contact met ons op te nemen (contacten vindt u hieronder)
---> U dient onze decoderingstool aan te schaffen, zodat u uw bestanden kunt herstellen. Zonder onze decoderingssleutels is het onmogelijk
---> U moet een deal met ons sluiten om uw gegevenslekkage te voorkomenUW OPTIES:
---> INDIEN GEEN CONTACT OF DAEL GEMAAKT IN 3 DAGEN:
De decoderingssleutel wordt permanent verwijderd en herstel is onmogelijk.
Al uw gegevens worden gepubliceerd en/of verkocht aan derden
Informatie over kwetsbaarheden van uw netwerk kan ook worden gepubliceerd en/of gedeeld'
