PROM Ransomware

De PROM Ransomware is een nieuw gedetecteerde ransomware-bedreiging die in het wild is vrijgegeven. Slachtoffers zullen geen toegang meer hebben tot hun eigen bestanden via een versleutelingsproces dat gebruikmaakt van een sterk cryptografisch algoritme dat alle betrokken bestanden onbruikbaar maakt. De dreiging zal zijn slachtoffers vervolgens afpersen voor geld in ruil voor de decoderingssleutel. Elke keer dat de PROM Ransomware een bestand vergrendelt, zal het ook de oorspronkelijke naam van dat bestand drastisch veranderen door er '.PROM [prometheushelp@mail.ch]' aan toe te voegen als een nieuwe extensie. De dreiging zal dan de losgeldbrief met instructies van de hackers laten vallen. De notitie wordt in twee vormen afgeleverd: een 'RESTORE_FILES_INFO.hta'-bestand (gebruikt voor een pop-upvenster) en' RESTORE_FILES_INFO.txt'-bestanden. De tekst op beide plaatsen is identiek. De hackers staan hun slachtoffers toe om maximaal drie niet-belangrijke bestanden te uploaden die gratis worden gedecodeerd. De bestanden moeten echter worden geüpload naar de website die in de notitie wordt vermeld en de bijbehorende link moet dan in een afzonderlijk bericht worden verzonden. Slachtoffers van de PROM Ransomware krijgen twee communicatiekanalen om de cybercriminelen te bereiken. De eerste is via een speciale website die wordt gehost op het TOR-netwerk en alleen toegankelijk is via de TOR-webbrowser. Het alternatief is om een e-mailbericht te sturen naar alle drie de opgegeven adressen - prometheushelp@mail.ch, prometheushelp@airmail.cc en Prometheus.help@protonmail.ch. Om hun slachtoffers verder te dwingen contact te leggen, waarschuwen de hackers dat de decoderingssleutel die nodig is voor het herstellen van de vergrendelde bestanden slechts 7 dagen op hun server zal worden bewaard, waarna deze zal worden verwijderd. De volledige tekst van de notitie die is verwijderd door de PROM Ransomware is:

'Je kunt het niet zelf ontsleutelen! De enige methode om bestanden te herstellen, is door een unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen. We raden je aan om 3 versleutelde bestanden te uploaden in hxxps: //privatlab.com/file en de link in je bericht te plakken. We zullen aantonen dat we uw bestanden kunnen herstellen. * Houd er rekening mee dat bestanden geen waardevolle informatie mogen bevatten. Wilt u uw bestanden echt herstellen? 1) Met een TOR-browser! a) Download en installeer de TOR-browser vanaf deze site: hxxps: //torproject.org/ b) Website openen: hxxp: //sonarmsniko2lvfu.onion/? a = reg c) Registreer een account d) Klik op Opstellen en schrijf ons, onze gebruikersnaam: Prometheus, schrijf uw sleutelidentificatie in het bericht (deze staat aan het einde van het bestand) 2) Met behulp van een e-mail Schrijf naar 3 e-mailadressen tegelijk, schrijf in het bericht uw sleutelidentificatie (het staat aan het einde van het bestand): prometheushelp@mail.ch prometheushelp@airmail.cc Prometheus.help@protonmail.ch We raden aan om 1 methode via de TOR-browser te gebruiken om contact met ons op te nemen. E-mailbrieven kunnen ons mogelijk niet bereiken. Als u binnen 12 uur geen reactie ontvangt, gebruik dan methode 1. * Hernoem geen versleutelde bestanden. * Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken. * Het decoderen van uw bestanden met de hulp van derden kan een hogere prijs veroorzaken (zij voegen hun vergoeding toe aan ons) of u kunt het slachtoffer worden van oplichting. * Voor onze veiligheid wordt alle informatie over uw server en uw decoderingssleutel automatisch VERWIJDERD NA 7 DAGEN! U raakt al uw gegevens onherroepelijk kwijt! Sleutelidentificatie: '