Lsas-ransomware
Het lijkt erop dat cybercriminelen nog steeds de beruchte Dharma Ransomware gebruiken om nieuwe malwarebedreigingen te creëren om de computers van gebruikers te infecteren. De nieuwste variant die uit deze malwarefamilie wordt voortgebracht, wordt door infosec-experts gevolgd als de Lsas Ransomware. Ondanks dat het een variant is zonder enige significante verbetering ten opzichte van de andere Dharma- varianten, mag het vermogen van de Lsas Ransomware om vernietiging te veroorzaken niet worden onderschat.
Na te zijn ingezet op de gecompromitteerde systemen, zal de Lsas Ransomware een sterk coderingsproces initiëren dat talrijke bestanden die daar zijn opgeslagen, zal vergrendelen. Een groot aantal bestandstypen wordt onbruikbaar gemaakt. Slachtoffers hebben geen toegang meer tot hun documenten, archieven, databases, pdf's en meer.
Tijdens het versleutelingsproces krijgt elk getroffen bestand een unieke ID-tekenreeks, een e-mailadres en een nieuwe bestandsextensie die aan de oorspronkelijke naam wordt toegevoegd. Het specifieke e-mailadres dat door de dreiging wordt gebruikt, is 'sekurlsa@ml1.net', terwijl de bestandsextensie '.lsas' is. Na het voltooien van zijn bedreigende taak, zal de dreiging twee losgeld eisende berichten van de aanvallers laten vallen.
Details van losgeldbrief
In navolging van het typische Dharma-gedrag, levert de Lsas Ransowmare ook twee verschillende losgeldbriefjes aan zijn slachtoffers. Ten eerste maakt de dreiging een tekstbestand aan met de naam 'FILES ENCRYPTED.txt'. Het bevat slechts een paar zinnen die gebruikers de weg wijzen om contact op te nemen met de twee e-mailadressen van de hackers - 'sekurlsa@ml1.net' en 'sekurlsa@mm.st.'De hoofdreeks instructies wordt echter weergegeven in een pop-upvenster. Het onthult dat het losgeld moet worden betaald met behulp van de Bitcoin-cryptocurrency en dat gebruikers een enkel bestand mogen verzenden om gratis te worden gedecodeerd.Het gekozen bestand moet echter kleiner zijn dan 1 MB en mag geen belangrijke gegevens bevatten.
De volledige tekst die in het pop-upvenster wordt weergegeven, is:
' Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als je ze wilt herstellen, schrijf ons dan naar de e-mail sekurlsa@ml1.net
Schrijf deze ID in de titel van uw bericht 1E857D00
In het geval van geen antwoord binnen 24 uur, schrijf ons dan naar deze e-mails:sekurlsa@mm.st
U moet betalen voor decodering in Bitcoins. De prijs hangt af van hoe snel u ons schrijft. Na betaling sturen we u de decoderingstool die al uw bestanden zal decoderen.
Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 1 bestand sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 1 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)
Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
https://localbitcoins.com/buy_bitcoins
Je kunt hier ook andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichting. '
Het tekstbestand bevat het volgende bericht:
' al je gegevens zijn bij ons vergrendeld
Wil je terugkeren?
'Schrijf een e-mail sekurlsa@ml1.net of sekurlsa@mm.st '
