Extortionist Ransomware

The Extortionist Ransomware is een nieuwe, bedreigende variant uit de VoidCrypt-malwarefamilie. Het doel is om gerichte systemen te infiltreren en een sterk coderingsalgoritme uit te voeren. Als gevolg hiervan verliezen slachtoffers de toegang tot de meeste van hun privé- en bedrijfsgerelateerde bestanden. Documenten, gearchiveerde databases, afbeeldingen, foto's, pdf's en meer worden onbruikbaar gemaaktvolledig De dreigingsactoren die verantwoordelijk zijn voor het vrijgeven van de Extortionist Ransomware zullen vervolgens hun slachtoffers chanteren voor geld in ruil voor het mogelijke herstel van de vergrendelde gegevens.

Een van de onderscheidende kenmerken van de dreiging is de specifieke extensie die het gebruikt om elk vergrendeld bestand te markeren. Bij het versleutelen van een bestand van de beoogde bestandstypen, zal de malware aan de oorspronkelijke naam van het bestand een e-mailadres, een unieke ID-tekenreeks en een nieuwe extensie toevoegen. Het e-mailadres is 'openthefile@mailfence.com' terwijl de extensie '.Extortionist' is. Het losgeldbriefje van de dreiging wordt als een tekstbestand met de naam 'Decrypt-me.txt' op de gecompromitteerde apparaten geplaatst.

Overzicht van eisen

De instructies van de hackers stellen dat de eerste actie van hun slachtoffers zou moeten zijn om een specifiek bestand met de naam 'prvkey*.txt.key' te vinden. Blijkbaar bevat het bestand een cruciale decoderingssleutel en zonder deze sleutel kunnen zelfs de aanvallers de getroffen gegevens niet herstellen. De standaardlocatie van het bestand is C:\ProgramData\ en het *-teken kan in plaats daarvan een getal zijn. De notitie verduidelijkt ook dat het losgeld moet worden betaald met behulp van de Bitcoin-cryptocurrency.

Als de notitie kan worden vertrouwd, mogen slachtoffers ook een aantal vergrendelde bestanden verzenden om gratis te worden ontsleuteld.De gekozen bestanden moeten echter kleiner zijn dan 1 MB en mogen geen belangrijke informatie bevatten. Er worden twee e-mails verstrekt als communicatiekanalen - 'openthefile@mailfence.com' en 'openthefile@tutanota.com'.

De volledige tekst van de notitie van de afperser Ransomware is:

' Al uw bestanden zijn versleuteld'

U moet betalen om uw bestanden terug te krijgen

1-Ga naar de map C:\ProgramData\ en stuur ons het bestand prvkey*.txt.key, * kan een getal zijn (zoals dit: prvkey3.txt.key)
2-U kunt een bestand van minder dan 1 MB verzenden voor de decoderingstest om ons te vertrouwen. Maar het testbestand mag geen waardevolle gegevens bevatten
3-Betaling moet met Bitcoin zijn
4-Windows wijzigen zonder het prvkey.txt.key-bestand op te slaan, leidt tot permanent gegevensverlies

Onze e-mail:openthefile@mailfence.com
in geval van geen antwoord:openthefile@tutanota.com '