BITCOINPAYMENT Ransomware
Wariant rodziny złośliwego oprogramowania Phobos, BITCOINPAYMENT Ransomware, atakuje dane swoich ofiar i sprawia, że stają się one bezużyteczne dzięki silnej procedurze szyfrowania. Operatorzy zagrożenia będą następnie próbowali wyłudzić pieniądze od dotkniętych użytkowników lub firm. Należy zauważyć, że chociaż BITCOINPAYMENT Ransomware nie wykazuje żadnych znaczących ulepszeń ani modyfikacji w porównaniu z innymi wariantami Phobos , jego destrukcyjny potencjał nie powinien być lekceważony.
Ogólnie rzecz biorąc, BITCOINPAYMENT Ransomware podąża za ustalonym zachowaniem Phobos. Modyfikuje nazwy zaszyfrowanych plików, dodając do nich ciąg identyfikatora, adres e-mail i nowe rozszerzenie. Ciąg identyfikatora jest generowany dla każdej ofiary, a adres e-mail i rozszerzenie to „cleverhorse@protonmail.com” i „.BITCOINPAYMENT”. Gdy wszystkie docelowe dane zostaną zablokowane przez zagrożenie, BITCOINPAYMENT Ransomware upuszcza dwa pliki na naruszone urządzenie o nazwach „info.hta” i „info.txt”.
Plik tekstowy zawiera instrukcje, w jaki sposób ofiary, których dotyczy problem, mogą skontaktować się z kontem Jabber osoby atakującej, aby uzyskać dalsze szczegóły. Wspomina również, że do 3 zaszyfrowanych plików o łącznym rozmiarze mniejszym niż 10 MB można bezpłatnie wysłać do odszyfrowania. Jednak pełna notatka dotycząca okupu jest wyświetlana w wyskakującym oknie wygenerowanym z pliku hta. Tutaj cyberprzestępcy wyjaśniają, że akceptowane będą tylko płatności dokonane przy użyciu kryptowaluty Bitcoin. Jeśli chodzi o wysokość żądanego okupu, najwyraźniej będzie on opierał się na czasie potrzebnym ofiarom na nawiązanie kontaktu.
Pełny tekst wiadomości wyświetlany jako wyskakujące okienko to:
' Wszystkie twoje pliki zostały zaszyfrowane!
Wszystkie twoje pliki zostały zaszyfrowane z powodu problemu z bezpieczeństwem twojego komputera. Jeśli chcesz je przywrócić, napisz do nas na adres e-mailsmarthorse@protonmail.com
Wpisz ten identyfikator w tytule wiadomości -
Jeśli nie otrzymasz odpowiedzi z naszej poczty, możesz zainstalować klienta Jabbera i napisać do nas na adres smarthorse@xmpp.jp
Musisz zapłacić za odszyfrowanie w Bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.Darmowe odszyfrowanie jako gwarancja
Przed zapłaceniem możesz wysłać nam do 1-3 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 10 MB (niezarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)Jak zdobyć Bitcoiny?
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz również znaleźć inne miejsca, w których można kupić Bitcoiny i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Instrukcje instalacji klienta Jabber:
Pobierz klienta Jabber (Pidgin) z hxxps://pidgin.im/download/windows/
Po instalacji klient Pidgin poprosi o utworzenie nowego konta.
Kliknij „Dodaj”
W polu „Protokół” wybierz XMPP
W "Nazwa użytkownika" - wymyśl dowolną nazwę
W polu "domena" - wpisz dowolny serwer jabber, jest ich dużo, na przykład - exploit.im
Stwórz hasło
Na dole zaznacz "Utwórz konto"
Kliknij dodaj
Jeśli wybrałeś "domenę" - exploit.im, powinno pojawić się nowe okno, w którym będziesz musiał ponownie wprowadzić swoje dane:
Użytkownik
hasło
Musisz kliknąć link do captcha (tam zobaczysz znaki, które musisz wpisać w polu poniżej)
Jeśli nie rozumiesz naszych instrukcji instalacji klienta Pidgin, możesz znaleźć wiele samouczków instalacji na youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installUwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików za pomocą osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.Plik tekstowy zawiera następujące instrukcje:
Chcesz zwrócić swoje pliki? Napisz na nasze konto xmpp - intelligenthorse@xmpp.jp
Najprostszy sposób - zarejestruj się tutaj hxxps://www.xmpp.jp/signup
Po pobraniu klienta pidgin hxxps://pidgin.im/
Naciśnij Dodaj konto, wybierz protokół xmpp i wpisz nazwę użytkownika z xmpp.jp, gdzie się rejestrujesz
Domena - xmpp.jp
Wpisz swoje hasło i naciśnij dodaj
Po zalogowaniu wciśnij Buddies --> Add Buddy--> a w polu Buddys username wstaw smarthorse xmpp.jp
Gdy zobaczysz dodane konto smarthorse@xmpp.jp, kliknij na nie dwa razy i napisz wiadomość
Możesz przesłać nam 1-3 pliki testowe. Całkowity rozmiar plików musi być mniejszy niż 10Mb (nie zarchiwizowane),
odszyfrujemy je i wyślemy Ci, że jesteśmy prawdziwi
Jeśli masz problem z xmpp, możesz napisać na nasz adres smarthorse@protonmail.com .'
