Temlo Ransomware

Een nieuwe variant uit de VoidCrypt Ransomware-familie is in het wild losgelaten. De dreiging heet Temlo Ransomware en kan enorme schade aanrichten aan de gehackte computers. Net als alle andere varianten uit de familie, is Temlo ook ontworpen om zich op specifieke bestandstypen te richten en deze te vergrendelen met behulp van een onkraakbaar cryptografisch algoritme. Daarna proberen de cybercriminelen hun slachtoffers af te persen voor geld in ruil voor de decoderingssleutel en tool die mogelijk de vergrendelde informatie zou kunnen herstellen.

Technische details

Als onderdeel van het coderingsproces verandert de Temlo Ransomware ook de oorspronkelijke namen van de getroffen bestanden. De dreiging volgt de naamgevingsconventies die horen bij de VoidCrypt- familie. Het voegt een e-mailadres, een ID-nummer toegewezen aan het slachtoffer en een nieuwe bestandsextensie toe.

Het e-mailadres dat wordt gebruikt in de namen van de versleutelde bestanden is 'temloown@gmail.com'. De nieuwe bestandsextensie is '.temlo.' Slachtoffers van de dreiging krijgen een losgeldbriefje met instructies van de hackers. Het bericht wordt op het besmette apparaat afgeleverd in de vorm van een tekstbestand met de naam 'Decrypt-info.txt'.

Overzicht van losgeldbrief

Volgens de notitie is de eerste actie van de slachtoffers van Temlo Ransomware het lokaliseren van een specifiek bestand dat op hun computers is gemaakt. Blijkbaar hebben de cybercriminelen dit bestand nodig om de gegevens van de gebruiker te kunnen herstellen. Het bestand heet 'prvkey*.txt.key' en zou zich onder C:\ProgramData moeten bevinden.\ Slachtoffers wordt echter gevraagd al hun schijven te controleren.

Het bestand moet worden verzonden naar een van de opgegeven e-mailadressen - 'temloown@gmail.com' en 'temloown@tuta.io'. Daarnaast kunnen slachtoffers ook verschillende kleine versleutelde bestanden verzenden die zogenaamd gratis zullen worden ontgrendeld. Het laatste belangrijke detail dat in de notitie wordt genoemd, is dat het losgeld moet worden betaald met behulp van de Bitcoin-cryptocurrency.

De volledige tekst van het losgeld nota is:

' Al uw bestanden zijn versleuteld'

U moet betalen om uw bestanden terug te krijgen

Ga naar C:\ProgramData\ of in Uw andere schijven en stuur ons het bestand prvkey*.txt.key, * kan een getal zijn (zoals dit: prvkey3.txt.key)

U kunt een bestand van minder dan 1 MB verzenden voor de decoderingstest om ons te vertrouwen. Maar het testbestand mag geen waardevolle gegevens bevatten

Betaling moet met Bitcoin zijn
Als u Windows wijzigt zonder het prvkey.txt.key-bestand op te slaan, leidt dit tot permanent gegevensverlies

Onze e-mail:tempoown@gmail.com
in geval van geen antwoord:temlown@tuta.io .'