Baxter Ransomware
Podobnie jak w przypadku większości oprogramowania ransomware, celem cyberprzestępców stojących za Baxter Ransomware jest zainfekowanie komputerów użytkowników, a następnie umożliwienie tworzonym przez nich ransomware zaszyfrowanie przechowywanych tam danych. Użytkownicy nie będą mogli uzyskać dostępu do swoich plików – dokumentów, plików PDF, archiwów, baz danych, zdjęć, zdjęć itp. Baxter Ransomware to nowe zagrożenie z rodziny VoidCrypt Ransomware.
Wszystkie zaszyfrowane pliki zostaną drastycznie zmodyfikowane. Baxter Ransomware stosuje złożony wzorzec nazewnictwa — dołącza adres e-mail (karusjok@gmail.com), po którym następuje losowy ciąg, a na końcu „.baxter" jako nowe rozszerzenie pliku. Po zakończeniu szyfrowania pliku zagrożenie dostarczy żądanie okupu. Instrukcje hakerów zostaną umieszczone w plikach tekstowych o nazwie „Decrypt-info.txt".
Zgodnie z notatką, najważniejszym krokiem, jaki muszą wykonać ofiary Baxter Ransomware, jest znalezienie pliku o nazwie „prvkey*.txt.key" (gwiazdka może być liczbą w określonym pliku). Lokalizacja tego pliku powinna być C:\ProgramData\. Manipulowanie tym plikiem w jakikolwiek sposób może uniemożliwić odzyskanie zaszyfrowanych plików. Po zlokalizowaniu pliku użytkownicy są proszeni o wysłanie go za pośrednictwem podanego adresu e-mail — „karusjok@gmail.com" lub konta telegramu — „@karuus". Ofiary Baxter Ransomware mogą również wysłać pojedynczy zablokowany plik, który podobno zostanie następnie odszyfrowany za darmo.
Pełny tekst noty okupu upuszczonej przez groźbę to:
' Wszystkie twoje pliki zostały zaszyfrowane
Musisz zapłacić, aby odzyskać swoje pliki
1-Przejdź do C:\ProgramData\ lub w innych Twoich dyskach i wyślij nam plik prvkey*.txt.key , * może być liczbą (na przykład: prvkey3.txt.key)
2-Możesz wysłać plik mniejszy niż 1mb do testu deszyfrowania, aby nam zaufać, ale plik testowy nie powinien zawierać cennych danych
3-Płatność powinna być z Bitcoin
4-Zmiana systemu Windows bez zapisania pliku prvkey.txt.key spowoduje trwałą utratę danychNasz e-mail:karusjok@gmail.com
w przypadku braku odpowiedzi: identyfikator telegramu: @karuus '
