Magische ransomware
De Magic Ransomware is geclassificeerd als een variant van de Phobos Ransomware-familie. De Magic Ransomware is niet veel veranderd in vergelijking met andere leden van de Phobos Ransomware- familie. Het potentieel om veel schade toe te brengen aan de gebruikers en de machines die het infecteert, is echter nog steeds actief en de Magic Ransomware is nog steeds een krachtige bedreiging die gebruikers effectief van hun eigen computers kan houden. Door gebruik te maken van een onkraakbaar versleutelingsalgoritme, zal de Magic Ransomware bijna alle bestanden die op de gecompromitteerde computer zijn opgeslagen, ontoegankelijk en onbruikbaar maken. De Magic Ransomware zal vervolgens proberen zijn slachtoffers af te persen door te beloven de decoderingssleutel uit te wisselen die nodig is om de vergrendelde gegevens vrij te geven tegen losgeld.
De Magic Ransomware zal de namen van de getroffen bestanden drastisch veranderen. Het voegt een nieuwe bestandsextensie, '.magic', toe aan de oorspronkelijke naam van elk versleuteld bestand. De e-mailadressen die moeten worden gebruikt om contact op te nemen met de mensen achter de Magic Ransomware zijn 'midnight@email.tg en dark_day@cyberfear.com. Het geeft ook de mogelijkheid om de Tox-chat te gebruiken. Zodra de coderingsroutine klaar is, laat de Magic Ransomware zijn losgeldbrief met instructies voor de slachtoffers vallen. Het bericht heeft twee versies: een kortere in tekstbestanden met de naam 'info.txt' en een uitgebreidere set instructies, info.hta, die in een pop-upvenster wordt weergegeven.
Het exacte bedrag dat wordt geëist door de hackers die de Magic Ransomware besturen, wordt niet vermeld, maar er staat dat de som afhangt van hoe snel de slachtoffers communicatie starten. De slachtoffers van de Magic Ransomware mogen drie niet-belangrijke bestanden die in totaal niet groter zijn dan 4 MB aan hun berichten toevoegen. De hackers zullen deze bestanden gratis decoderen, vermoedelijk als demonstratie van hun vermogen om alle vergrendelde gegevens te herstellen. Het wordt nog steeds niet aanbevolen om onderhandelingen aan te gaan met cybercriminelen, omdat dit gebruikers kan blootstellen aan verdere beveiligingsbedreigingen.
De tekst die wordt weergegeven in het bestand 'info.hta' dat is gemaakt door Magic Ransomware is:
'Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als u ze wilt herstellen, schrijft u ons naar de e-mail middernacht@email.tg
Schrijf deze ID in de titel van uw bericht
Als u binnen 24 uur geen antwoord krijgt, schrijf ons dan naar deze e-mail:dark_day@cyberfear.com
Of schrijf ons naar de TOX-messenger: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A
Je kunt TOX-messenger hier downloaden hxxps://tox.chat/
U moet betalen voor decodering in Bitcoins. De prijs is afhankelijk van hoe snel u ons schrijft. Na betaling sturen we je de tool die al je bestanden zal ontsleutelen.
Gratis decryptie als garantie
Voordat u betaalt, kunt u ons maximaal 3 bestanden sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 4Mb (niet-gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)
Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Ook kunt u hier andere plaatsen vinden om Bitcoins en beginnersgids te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met behulp van software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan de onze) of u kunt het slachtoffer worden van oplichterij.De inhoud van het bestand 'info.txt' is:
!!!Al uw bestanden zijn versleuteld!!!
Stuur een e-mail naar dit adres om ze te decoderen: midnight@email.tg.
Als we niet binnen 24 uur antwoorden, stuur dan een e-mail naar dit adres: dark_day@cyberfear.com
Of schrijf ons naar de TOX-messenger: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A'
