Lizard (Phobos) Ransomware

Cybersecurity-experts hebben een andere kwaadaardige malwarebedreiging ontdekt, gebaseerd op de beruchte Phobos Ransomware- familie. De dreiging heet de Lizard Ransomware en kan worden gebruikt om de gegevens die zijn opgeslagen op gehackte apparaten te vergrendelen. Het voldoende sterke coderingsalgoritme zorgt ervoor dat het herstellen van de getroffen bestanden zonder de juiste decoderingssleutel praktisch niet haalbaar is.

Wanneer de Lizard Ransomware een bestand versleutelt, verandert het ook drastisch de oorspronkelijke naam van dat bestand. Getroffen gebruikers zullen merken dat hun bestanden nu een ID-tekenreeks, een e-mailadres en een nieuwe bestandsextensie aan hun naam hebben toegevoegd. De ID-reeks wordt gegenereerd voor elk verschillend slachtoffer, terwijl het e-mailadres dat door de dreiging wordt gebruikt 'r3wuq@tuta.io' is. De bestandsextensie is '.LIZARD.' Wat betreft de losgeldbrief van de dreiging, laat de Lizard Ransomware twee verschillende berichten vallen. De ene wordt weergegeven in een pop-upvenster dat is gemaakt op basis van een 'info.hta'-bestand, terwijl de andere is opgenomen in een tekstbestand met de naam 'info.txt'.

Overzicht van losgeldbrief

Het tekstbestand bevat slechts een paar zinnen. Het instrueert de slachtoffers van de dreiging voornamelijk om contact op te nemen door een bericht te sturen naar 'r3wuq@tuta.io', of, in het geval er na 24 uur geen antwoord is, moeten ze een Telegram-account gebruiken op '@Online7_365'. Het belangrijkste bericht dat losgeld vraagt, is het bericht dat wordt weergegeven als een pop-upvenster. Het onthult dat de aanvallers alleen betalingen accepteren die zijn gedaan met de Bitcoin-cryptocurrency. Het stelt ook dat de dreigingsactoren bereid zijn om maximaal 5 bestanden gratis te decoderen. De gekozen bestanden mogen echter geen belangrijke informatie bevatten en mogen in totaal niet groter zijn dan 4 MB.

Het bericht in het tekstbestand is:

' !!!Al uw bestanden zijn versleuteld!!!
Om ze te decoderen, stuur een e-mail naar dit adres: r3wuq@tuta.io.
Als we niet binnen 24 uur antwoorden, stuur dan bericht naar telegram: @Online7_365 '

De losgeldnota weergegeven door Lizard Ransomware in een pop-upvenster is:

' Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als je ze wilt herstellen, schrijf ons dan naar de e-mail r3wuq@tuta.io
Schrijf deze ID in de titel van uw bericht -
Als u binnen 24 uur geen antwoord ontvangt, neem dan contact met ons op via het Telegram.org-account: @Online7_365
U moet betalen voor decodering in Bitcoins. De prijs hangt af van hoe snel u ons schrijft. Na betaling sturen wij u de tool die al uw bestanden zal decoderen.
Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 5 bestanden sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 4 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)
Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Je kunt hier ook andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij. '