TEREN Ransomware
De TEREN Ransomware is een nieuwe ransomwarebedreiging die voortkomt uit de productieve familie van ransomware op basis van de Dharma Ransomware. De belangrijkste verschillen tussen TEREN en de andere leden van de Dharma- malwarefamilie zijn de extensie die het gebruikt voor alle gecodeerde bestanden en de e-mailadressen voor contact met de hackers.
Na succesvolle infiltratie begint de TEREN Ransomware de bestanden die op het computersysteem zijn opgeslagen te versleutelen met een onkraakbaar cryptografisch algoritme, waardoor de gebruikers effectief geen toegang meer hebben tot hun eigen privébestanden. De cybercriminelen zullen dan de betaling van losgeld eisen, meestal in Bitcoin, in ruil voor de decoderingssleutel of tool die mogelijk de vergrendelde gegevens zou kunnen herstellen. Zoals alle Dharma-varianten, wijzigt de TEREN Ransomware ook de bestandsnamen van elk gecodeerd bestand aanzienlijk. Ten eerste voegt het een unieke alfanumerieke tekenreeks toe die de ID van het specifieke slachtoffer vertegenwoordigt, gevolgd door een e-mailadres dat wordt beheerd door de hackers, en tenslotte ' .TEREN ' als een nieuwe extensie.
De TEREN Ransomware is geprogrammeerd om twee losgeldnota's af te leveren, één in de vorm van een tekstbestand dat in elke map met gecodeerde gegevens te vinden is, en één weergegeven in een pop-upvenster. De tekstbestanden heten 'FILES ENCRYPTED.txt' en bevatten slechts een paar regels tekst, voornamelijk de twee e-mailadressen van de hackers - 'databack44@tuta.io' en 'decrypt24@gytmail.com'. Het pop-upvenster geeft de juiste instructies van de cybercriminelen. Hoewel er geen specifiek bedrag wordt vermeld, vermeldt de notitie wel dat de prijs zal afhangen van hoe snel de betrokken gebruikers de communicatie hebben geïnitieerd. Ze worden ook aangeboden om één bestand dat kleiner is dan 1 MB te verzenden voor gratis decodering. Bovendien mag het tweede e-mailadres - decrypt24@gytmail.com alleen worden gebruikt in het geval dat er 24 uur zijn verstreken zonder dat de slachtoffers een antwoord op de primaire e-mail krijgen.
Het bericht van de tekstbestanden gemaakt door de TEREN Ransomware is:
'al uw gegevens zijn vergrendeld
U wilt terugkeren?
Schrijf een e-mail databack44@tuta.io of decrypt24@gytmail.com. '
De instructies voor het pop-upvenster zijn:
'Al uw bestanden zijn versleuteld!
Al uw bestanden zijn versleuteld vanwege een beveiligingsprobleem met uw pc. Als u ze wilt herstellen, schrijft u ons naar de e-mail databack44@tuta.io
Schrijf deze ID in de titel van uw bericht -
Als u binnen 24 uur geen antwoord ontvangt, kunt u ons schrijven naar deze e-mails: decrypt24@gytmail.com
U moet betalen voor decodering in Bitcoins. De prijs is afhankelijk van hoe snel u ons schrijft. Na betaling sturen we je de decoderingstool die al je bestanden zal decoderen.
Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 1 bestand gratis decoderen sturen. De totale grootte van bestanden moet kleiner zijn dan 1 MB (niet gearchiveerd), en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, etc.)
Hoe Bitcoins te verkrijgen
De gemakkelijkste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, klikken op 'Bitcoins kopen' en de verkoper selecteren op betaalmethode en prijs.
hxxps: //localbitcoins.com/buy_bitcoins
Ook kunt u hier andere plaatsen vinden om Bitcoins en een beginnersgids te kopen:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Aandacht!
Wijzig de naam van versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het ontsleutelen van uw bestanden met de hulp van derden kan een hogere prijs veroorzaken (zij voegen hun vergoeding toe aan ons) of u kunt het slachtoffer worden van oplichting. '
