Pay Ransomware
Cybersecurity-onderzoekers hebben een andere schadelijke ransomware-dreiging ontdekt. De dreiging, genaamd Pay Ransomware en behoort tot de Xorist Ransomware-familie, behoudt de krachtige mogelijkheden van deze ransomware-familie en kan aanzienlijke schade aanrichten aan de systemen die het infecteert. Door een coderingsroutine uit te voeren met een cryptografisch algoritme van militaire kwaliteit, kan de Pay Ransomware effectief een breed scala aan bestandstypen volledig onbruikbaar maken. De aanvallers zullen het slachtoffer vervolgens afpersen door de versleutelde gegevens als gijzelaar te nemen.
Telkens wanneer de Pay Ransomware een bestand verwerkt, verandert het ook de oorspronkelijke naam van dat bestand door '.Pay' toe te voegen als een nieuwe extensie. Daarna gaat de malware verder met het afleveren van het bericht waarin om losgeld wordt gevraagd. Om er zeker van te zijn dat de getroffen gebruikers de instructies van de hacker te zien krijgen, genereert de dreiging een tekstbestand met de naam 'HOE FILES.txt DECRYPTEREN' en toont deze in een pop-upvenster.
Overzicht van eisen
De losgeldbrief die wordt weergegeven in het pop-upvenster en die in het tekstbestand is identiek. Volgens het bericht willen de bedreigingsactoren achter de Pay Ransomware een losgeld van precies $ 50 ontvangen. Ze accepteren echter alleen betalingen in Bitcoin, waarbij het geld moet worden overgemaakt naar het crypto-wallet-adres dat in de notitie wordt vermeld. Na de betaling moeten de slachtoffers de qTox-chatclient downloaden, zogenaamd om de decoderingssleutel te ontvangen die nodig is voor het herstellen van hun gegevens van de aanvallers. De notitie waarschuwt dat slachtoffers slechts 5 pogingen hebben om de juiste code in te voeren, en het overschrijden van de limiet van pogingen zal blijkbaar alle vergrendelde gegevens vernietigen.
De volledige tekst van de nota waarin losgeld wordt gevraagd is:
' Let op! Al uw bestanden zijn versleuteld!
Om uw bestanden te herstellen en te openen,
Stuur ons 50 USD in Bitcoin naar dit adresbc1qmsfh4lz8nar89zvxkverwurkjrmg4d9vqjgj7g
(?? Bitcoin-adres ??)U heeft 5 pogingen om de code in te voeren.
Als dat aantal wordt overschreden,
alle gegevens worden onomkeerbaar vernietigd.
Wees voorzichtig bij het invoeren van de code.Zodra u ons de betaling stuurt, bekijkt u de code van de qTox-client die u moet downloaden, zodat we u de decoderingscode kunnen sturen (lees hieronder wat de qTox-client is)
Als je contact met ons wilt opnemen, kun je het open-sourse-project qTox downloaden en me toevoegen aan deze ID (je moet contact met ons opnemen om je code te krijgen na de betaling)
ID KAART:
9F15A8EE857F37F03C77A7723D50C47BBCA37 60997A993AB20D7D2A68C59F43D5EFD8AAD77B7Obs: Geen antivirusprogramma's kunnen je hier helpen, ze zullen alleen de client verwijderen die dit start en elke kans om je bestanden te decoderen verwijderen, veel succes! '
