Krlock-ransomware
De Krlock Ransomware is een variant uit de MedusaLocker Ransomware-familie. Hoewel de Krlock Ransomware geen grote afwijkingen vertoont van het gedrag en de mogelijkheden van de andere varianten van de MedusaLocker Ransomware- familie, is het vernietigingspotentieel van de Krlock Ransomware enorm. De dreiging maakt gebruik van een versleutelingsproces dat een groot aantal bestandstypen onbruikbaar en ontoegankelijk kan maken. De hackers zullen dan hun slachtoffers afpersen in ruil voor de decoderingssleutel en het hulpmiddel dat nodig is voor het herstel van de gegevens. Aan elk bestand dat door de dreiging is vergrendeld, wordt '.krlock' toegevoegd aan de oorspronkelijke naam als een nieuwe extensie. Nadat de bestanden van het slachtoffer volledig zijn versleuteld, genereert de Krlock Ransomware een bestand met notities met de naam 'Recovery_Instructions.html'.
De eisen van Krlock Ransomware
De notitie onthult dat de dreiging een combinatie van de RSA- en AES-cryptografische algoritmen gebruikt als onderdeel van het versleutelingsproces. Wat nog belangrijker is, het waarschuwt dat de hackers achter Krlock gevoelige informatie van de gecompromitteerde machines hebben kunnen verkrijgen. De gegevens worden opgeslagen op een privéserver en de crybercriminelen dreigen deze ofwel vrij te geven aan het publiek of te verkopen aan geïnteresseerde partijen als hun eisen niet worden ingewilligd.
Om contact op te nemen met de hackers, wordt aan de getroffen gebruikers verteld dat ze een speciale server moeten bezoeken die wordt gehost op het TOR-netwerk. Als ze de site niet kunnen openen, moeten gebruikers een bericht sturen naar de twee opgegeven e-mailadressen - 'diniaminius@winrof.com' en 'soterissylla@wyseil.com'. Ze kunnen maximaal 3 versleutelde bestanden toevoegen aan de e-mail die zogenaamd zal worden ontsleuteld en geretourneerd. Het briefje wordt afgesloten met een waarschuwing dat na 72 uur de prijs van het losgeld zal stijgen.
Het volledige losgeld nota is:
' UW PERSOONLIJKE ID:
/!\ UW BEDRIJFSNETWERK IS BINNENGEVALLEN /!\
Al uw belangrijke bestanden zijn versleuteld!Uw bestanden zijn veilig! Alleen gewijzigd. (RSA+AES)
ELKE POGING OM UW BESTANDEN TE HERSTELLEN MET SOFTWARE VAN DERDEN
ZAL HET PERMANENT BORSTELEN.
WIJZIG GEEN ENCRYPTE BESTANDEN.
HERHAAL DE NAAM VAN GECODEERDE BESTANDEN NIET.Er is geen software beschikbaar op internet die u kan helpen. Wij zijn de enigen die dat kunnen
uw probleem oplossen.We hebben zeer vertrouwelijke/persoonlijke gegevens verzameld. Deze gegevens worden momenteel opgeslagen op:
een privéserver. Deze server wordt na uw betaling direct vernietigd.
Als u besluit niet te betalen, geven we uw gegevens vrij aan het publiek of aan de wederverkoper.
U kunt dus verwachten dat uw gegevens in de nabije toekomst openbaar beschikbaar zijn.
We zoeken alleen geld en ons doel is niet om uw reputatie te schaden of te voorkomen
uw bedrijf uit de running.U kunt ons 2-3 niet-belangrijke bestanden sturen en wij zullen deze gratis decoderen
om te bewijzen dat we uw bestanden kunnen teruggeven.Neem contact met ons op voor de prijs en ontvang decoderingssoftware.
hxxp://gvlay6u4g53rxdi5.onion/21-arI02IQ7bCduBgWPXO675BFwq3fZcMQx-XVWGPo0nZR9aPENLrvCN9CAECFD81JUI
Merk op dat deze server alleen beschikbaar is via de Tor-browser
Volg de instructies om de link te openen: Typ het adres "hxxps://www.torproject.org" in uw internetbrowser. Het opent de Tor-site.
Druk op "Download Tor", druk vervolgens op "Download Tor Browser Bundle", installeer en voer het uit.
Nu heb je Tor-browser. Open in de Tor-browser "{{URL}}".
Start een chat en volg de verdere instructies.
Als u de bovenstaande link niet kunt gebruiken, gebruikt u de e-mail:
diniaminius@winrof.com
soterissylla@wyseil.comOm contact met ons op te nemen, maakt u een nieuwe e-mail aan op de site: protonmail.com
Neem zo snel mogelijk contact op. Uw privésleutel (decoderingssleutel)
wordt slechts tijdelijk opgeslagen.ALS U BINNEN 72 UUR GEEN CONTACT MET ONS OPNEEMT, ZAL DE PRIJS HOGER ZIJN. '
