LIZARD Ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 12 |
| Eerst gezien: | July 24, 2009 |
| Laatst gezien: | April 19, 2021 |
| Beïnvloede besturingssystemen: | Windows |
Analyse van de LIZARD Ransomware toonde aan dat de dreiging vrijwel identiek is aan de LANDSLIDE Ransomware-malware. De belangrijkste aspecten die de LIZARD Ransomware onderscheiden van de LANDSLIDE Ransomware, zijn de twee e-mailadressen die worden gebruikt als communicatiekanaal en de bestandsextensie die aan de namen van alle gecodeerde bestanden wordt toegevoegd.
Gebruikers die zijn geïnfecteerd met de LIZARD Ransomware zullen merken dat bijna al hun bestanden die op de besmette computer zijn opgeslagen, nu drastisch verschillende namen hebben. De ransomware-dreiging gebruikt inderdaad een complex naampatroon voor de bestanden die het beïnvloedt. Eerst plaatst het voor de oorspronkelijke naam een e-mailadres - 'DeathSpicy@yandex.ru', gevolgd door een reeks tekens die de unieke ID vertegenwoordigen die aan het slachtoffer is toegewezen. Tegelijkertijd wordt '.LIZARD' toegevoegd als een nieuwe bestandsextensie. Na voltooiing van het coderingsproces, maakt LIZARD Ransomware twee bestanden aan - '# ReadThis.HTA' en '# ReadThis.TXT', met daarin de tekst van de losgeldbrief van de dreiging.
Slachtoffers van de LIZARD Ransomware wordt verteld dat ze losgeld moeten betalen met Bitcoin om de decoderingstool van de hackers te ontvangen. Het briefje vermeldt niet het exacte bedrag dat door de criminelen wordt geëist. Voordat de betaling wordt uitgevoerd, krijgen getroffen gebruikers de kans om een enkel bestand met een grootte tussen 100 en 200 KB te verzenden om gratis te worden gedecodeerd. Om dit te doen, moeten ze een bericht sturen naar het e-mailadres dat ook in de namen van de gecodeerde bestanden staat. Als 24 passeren zonder antwoord te krijgen, moeten gebruikers overschakelen naar het versturen van een reservemailadres op 'DeathSpicy@tutanota.com'.
De volledige tekst van de notitie van LIZARD Ransomware is:
'Uw SERVER / COMPUTER is door ons gecodeerd! _
Hallo beheerder / gast!
[ENCRYPTER] => Al uw gegevens worden door ons versleuteld ..
[ENCRYPTER] => Uw unieke server-ID: [-]
[ENCRYPTER] => Wilt u uw gegevens decoderen?
[ENCRYPTER] => Om ons te vertrouwen, stuur ons eerst een bestand van 100-200 KB,
we zullen het decoderen om vertrouwen voor u op te bouwen.
[AFTERTRUST] => Wat moet u doen nadat u vertrouwen heeft opgebouwd?
Helpen
(
Al uw gegevens zijn versleuteld,
Als uw gegevens belangrijk zijn en u deze wilt ontsleutelen,
U moet het door ons ingestelde bitcoin-bedrag betalen,
Stuur eerst een bericht naar onze e-mails, na de prijsstelling, ons en uw vertrouwen,
Voer een Google-zoekopdracht uit om bitcoins te kopen,
Bijvoorbeeld: "Koop bitcoins in roebels".
Nadat u Bitcoin heeft gekocht, moet u
zet de Bitcoin over naar onze portemonnee,
Na betaling wordt de decoderingstool naar u verzonden
samen met hoe u het correct uitvoert
)
ENCRYPTER @ server ~ $ Om contact met ons op te nemen, stuurt u eerst een bericht naar onze eerste e-mail.
[FiRsT E-mail:] DeathSpicy@yandex.ru
ENCRYPTER @ server # Als uw e-mail na 24 uur niet wordt beantwoord, is onze e-mail mogelijk geblokkeerd.
Dus stuur een bericht naar onze tweede e-mail.
[SeCoNd e-mail:] DeathSpicy@tutanota.com
Koning van losgeld
Hagedis liep $ omW4rE. '
Aliassen
4 beveiligingsleveranciers hebben dit bestand als kwaadaardig gemarkeerd.
| Antivirus software | Detectie |
|---|---|
| McAfee-GW-Edition | Trojan.Clicker.Delf.CT |
| Ikarus | Trojan-Clicker.Delf.CT |
| AntiVir | TR/Clicker.Delf.CT |
| a-squared | Trojan-Clicker.Delf.CT!IK |
Bestandssysteemdetails
| # | Bestandsnaam | MD5 |
Detecties
Detecties: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers zoals gerapporteerd door SpyHunter.
|
|---|---|---|---|
| 1. | diskperff.dll | 0be52be18a8508b65f33e704b3e63242 | 0 |
