Cip Ransomware

Badacze z Infosec zidentyfikowali inne destrukcyjne zagrożenie ransomware, które jest częścią rodziny ransomware Dharma. Nazywany Cip Ransowmare, zagrożenie ściśle podąża za typowym zachowaniem Dharmy, nie wykazując żadnych znaczących odchyleń. Nie należy jednak lekceważyć szkód, jakie może wyrządzić zainfekowanym systemom komputerowym.

Cip wykorzystuje silny algorytm szyfrowania do blokowania prawie wszystkich plików ofiary. Użytkownicy, których to dotyczy, nie będą mieli dostępu do swoich dokumentów, plików PODF, archiwów, baz danych, zdjęć, zdjęć, plików audio i wideo itp. ani ich używania w jakikolwiek sposób. Podczas procesu szyfrowania Cip Ransomware zmodyfikuje również nazwy zaatakowanych plików. Zagrożenie trzyma się zwykłego wzorca nazewnictwa Dharmy, dołączając najpierw ciąg znaków, który działa jako identyfikator ofiary. Następnie Cip dołącza adres e-mail kontrolowany przez jego operatorów. Wreszcie, jako nowe rozszerzenie pliku zostanie dodany „.cip”.

Ofiary pozostaną z dwoma notatkami z okupem zawierającymi instrukcje od napastników. Jeden z nich zostanie umieszczony na pulpicie zaatakowanego systemu jako plik tekstowy o nazwie „info.txt”. Druga notatka zostanie wyświetlona w nowym oknie podręcznym.

Żądania Cip Ransomware

Celem zagrożenia jest wyłudzenie pieniędzy w zamian za przywrócenie danych ofiary. Jednak w obu notatkach dotyczących okupu brakuje wielu kluczowych szczegółów zaobserwowanych w przypadku innych zagrożeń ransomware. W wiadomościach nie ma informacji o wysokości żądanego okupu, czy środki muszą zostać przelane przy użyciu określonej kryptowaluty lub jeśli atakujący są skłonni zademonstrować swoją zdolność do odszyfrowania danych poprzez odblokowanie kilku plików za darmo.

Zamiast tego notatka w pliku tekstowym wymienia dwa e-maile, których ofiary mogą używać do komunikacji — „ciphercrypt@tuta.io” i „cipherc@onionmail.org”. Instrukcje w wyskakującym okienku nie są zbyt pomocne. Zawierają po prostu sekcję z różnymi ostrzeżeniami, takimi jak brak zmiany nazwy zaszyfrowanych plików lub uruchomienie deszyfratorów innych firm, ponieważ może to uszkodzić dane i uniemożliwić odzyskanie plików.

Komunikat wyskakujący to:

TWOJE PLIKI SĄ ZASZYFROWANE
1024
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Jeśli chcesz je przywrócić, napisz na e-mail: ciphercrypt@tuta.io TWÓJ ID -
Jeśli nie odpowiesz pocztą w ciągu 12 godzin, napisz do nas na inny adres:cipherc@onionmail.org
UWAGA!
Zalecamy bezpośredni kontakt z nami, aby uniknąć przepłacania agentów
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików za pomocą osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Notatka znaleziona w pliku tekstowym to:

wszystkie Twoje dane zostały nam zablokowane
Chcesz wrócić?
napisz e-mail ciphercrypt@tuta.io lub cipherc@onionmail.org