Cryptonite Ransomware

Zagrożenie Cryptonite Ransomware może nie być całkowicie wyjątkowe - badacze infosec potwierdzili, że jest to wariant Chaos Ransomware , ale to nie czyni go mniej groźnym. Po uruchomieniu na zainfekowanych komputerach zagrożenie uruchomi silną procedurę szyfrowania, która spowoduje, że większość przechowywanych tam danych stanie się niedostępna i bezużyteczna. Takie pliki, jak dokumenty, pliki PDF, obrazy, zdjęcia, archiwa, bazy danych i wiele innych zostaną naruszone, a ich przywrócenie bez znajomości prawidłowych kluczy deszyfrujących będzie praktycznie niemożliwe.

W przeciwieństwie do większości zagrożeń ransomware, Cryptonite nie używa spójnego ciągu znaków do oznaczania plików, które szyfruje. Zamiast tego wygeneruje inny 4-znakowy ciąg i dołączy go do oryginalnych nazw plików. Tło pulpitu naruszonych urządzeń zostanie zastąpione nowym, zawierającym krótką wiadomość w języku francuskim. Notatka z żądaniem okupu upuszczona przez zagrożenie jako plik tekstowy o nazwie „lisezmoi.txt”. również będzie napisany w całości po francusku.

Przetłumaczenie żądającej okupu wiadomości Cryptonite ujawnia, że jej operatorzy próbują wyłudzić od swoich ofiar 0,51 BTC (Bitcoins). Zgodnie z notatką okup powinien wynosić dokładnie 13 457,65 USD, ale nie jest to już dokładne. Ze względu na bardzo niestabilny charakter kryptowaluty, przy obecnym kursie wymiany, okup jest wart około 10 500 USD.

Żądanie okupu ostrzega ofiary przed zagrożeniem, że mają 24 godziny na przesłanie pieniędzy na podany adres portfela kryptograficznego. Jeśli potrwa to dłużej, zaczną tracić 2 zaszyfrowane pliki co 24 godziny. Co więcej, po 7 dniach wysokość okupu zostanie zwiększona do 16 000 $. Pojedynczy adres e-mail – „decrypt5058@proton.me” to jedyny udostępniony sposób nawiązania komunikacji z cyberprzestępcami.

Pełny tekst notatki w języku Frech to:

„Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE i vous ne serez pas zdolny de decryptés vos fichiers sans la clé de de decryptage.

Pour obtenir la clé de décryptage de vos fichiers et supprimer le virus veuillez nous contacter sur notre adresse e-maile ci-dessous.

Kontakt: decrypt5058@proton.me

Vous devez payer une rançon et cette rançon ne peut être payée que pl bitcoin à l'adresse indiqué ci-dessous.

Montant: 13457,65 $ = 0,51 btc
Adres: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Chaque 24h deux fichiers seront sélectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ do 16000$

Chaque fichier que vous éssayerez de decrypter sans la clé endommagera le fichier et vous le perdrez à jamais”.