Pyphyfe Ransomware

Infosec-onderzoekers hebben een nieuwe ransomware-dreiging geïdentificeerd die in het wild op de loer ligt. Bijgehouden als de Pyphyfe Ransomware, is de dreiging bedoeld om de computers van de slachtoffers te infiltreren, een sterk versleutelingsproces in werking te stellen en de gegevens die op de machine zijn opgeslagen zowel ontoegankelijk als onbruikbaar te maken. Zoals de meeste ransomware proberen de aanvallers de getroffen gebruikers vervolgens af te persen voor geld in ruil voor het verstrekken van de decoderingssleutel die nodig is voor het herstellen van de gegevens.

Als onderdeel van zijn schadelijke gedrag markeert de dreiging ook elk vergrendeld bestand. Het doet dit door '.pyphyfe' toe te voegen als een nieuwe extensie aan de oorspronkelijke namen van de getroffen bestanden. Wanneer alle beoogde bestandstypen zijn versleuteld, maakt de malware een tekstbestand aan met de naam 'HOE UW BESTANDEN.TXT HERSTELLEN'. Het bestand bevat een losgeldbrief met instructies voor de slachtoffers. Opgemerkt moet worden dat de Pyphyfe Ransomware is geclassificeerd als een variant van de Snatch Ransomware- familie.

Details van losgeldbrief

Het losgeldbriefje verspilt geen tijd en instrueert de slachtoffers van Pyphyfe om contact op te nemen met de aanvallersdirect. Het bericht vermeldt twee e-mailadressen die kunnen worden gebruikt als communicatiekanalen - 'JohnDealinger@seznam.cz' en 'JohnasassistantIT@seznam.cz'. Het briefje onthult niet het bedrag dat de hackers betaald willen krijgen.

Blijkbaar mogen slachtoffers ook maximaal 3 bestanden verzenden om gratis te worden gedecodeerd.De gekozen bestanden moeten echter aan twee eisen voldoen. De totale niet-gearchiveerde bestandsgrootte moet kleiner zijn dan 1 MB en de bestanden mogen geen belangrijke informatie bevatten. De notitie waarschuwt gebruikers ook om de gecodeerde bestanden niet te hernoemen of NAS-apparaten (Network-Attached Storage) uit te schakelen, omdat dit tot permanente schade kan leiden.

De volledige tekst van de nota is:

' Hallo!

Al uw bestanden zijn versleuteld!
Stuur me een e-mail als je je bestanden terug wilt hebben - ik zal het heel snel doen!
Neem per e-mail contact met mij op:

JohnDealinger@seznam.cz of JohnasassistantIT@seznam.cz

De onderwerpregel moet een encryptie-extensie of de naam van uw bedrijf bevatten!
Hernoem de versleutelde bestanden niet, u kunt ze voor altijd kwijtraken.
U kunt het slachtoffer worden van fraude. Gratis decodering als garantie.
Stuur ons maximaal 3 bestanden voor gratis decodering.
De totale bestandsgrootte mag niet groter zijn dan 1 MB! (niet in het archief), en de bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-spreadsheets, enz.)
!!! Schakel de NAS-apparatuur niet uit of herstart deze niet. Dit zal leiden tot gegevensverlies!!!

Om contact met ons op te nemen, raden we u aan een e-mailadres aan te maken op protonmail.com of tutanota.com
Omdat gmail en andere openbare e-mailprogramma's onze berichten kunnen blokkeren!

Mocht u lange tijd geen reactie van ons hebben ontvangen, controleer dan uw spamfolder. '