Cip Ransomware

Infosec-onderzoekers hebben een andere destructieve ransomware-bedreiging geïdentificeerd die deel uitmaakt van de Dharma ransomware-familie. De dreiging, genaamd Cip Ransowmare, volgt het typische Dharma-gedrag op de voet zonder enige significante afwijkingen te vertonen. De schade die het aan de geïnfecteerde computersystemen kan toebrengen, moet echter niet worden onderschat.

Cip gebruikt een sterk coderingsalgoritme om bijna alle bestanden van het slachtoffer te vergrendelen. Getroffen gebruikers zullen op enigerlei wijze toegang krijgen tot hun documenten, PODF's, archieven, databases, afbeeldingen, foto's, audio- en videobestanden, enz. Tijdens het coderingsproces zal Cip Ransomware ook de namen van de beoogde bestanden wijzigen. De dreiging houdt vast aan het gebruikelijke Dharma-naampatroon door eerst een tekenreeks toe te voegen die fungeert als de ID van het slachtoffer. Vervolgens voegt Cip een e-mailadres toe dat wordt beheerd door zijn operators. Ten slotte wordt '.cip' toegevoegd als een nieuwe bestandsextensie.

Slachtoffers krijgen twee losgeldbriefjes met instructies van de aanvallers. Een daarvan wordt op het bureaublad van het gecompromitteerde systeem geplaatst als een tekstbestand met de naam 'info.txt'. De andere notitie wordt weergegeven in een nieuw pop-upvenster.

De eisen van Cip Ransomware

Het doel van de dreiging is om geld af te persen in ruil voor het herstellen van de gegevens van het slachtoffer. Beide losgeldnota's missen echter veel van de cruciale details die worden waargenomen in andere ransomware-bedreigingen. De berichten vermelden niet het bedrag van het geëiste losgeld, of het geld moet worden overgedragen met behulp van een specifieke cryptocurrency, of dat de aanvallers bereid zijn aan te tonen dat ze de gegevens kunnen ontsleutelen door een paar bestanden gratis te ontgrendelen.

In plaats daarvan vermeldt de notitie in het tekstbestand de twee e-mails die slachtoffers kunnen gebruiken voor communicatie - 'ciphercrypt@tuta.io' en 'cipherc@onionmail.org.' De instructies in het pop-upvenster zijn niet zo nuttig. Ze bevatten gewoon een sectie met verschillende waarschuwingen, zoals het niet hernoemen van de versleutelde bestanden of het uitvoeren van decryptors van derden, omdat dit de gegevens kan beschadigen en de bestanden onherstelbaar kan maken.

Het pop-upbericht is:

UW BESTANDEN ZIJN VERSLEUTELD
1024
Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als u ze wilt herstellen, schrijf dan naar de e-mail: ciphercrypt@tuta.io UW ID -
Als je niet binnen 12 uur per post hebt geantwoord, schrijf ons dan via een andere mail:cipherc@onionmail.org
AANDACHT!
We raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat agenten te veel betalen
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.

De notitie in het tekstbestand is:

al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf e-mail ciphercrypt@tuta.io of cipherc@onionmail.org