Extortionist Ransomware
Extortionist Ransomware to nowy, groźny wariant z rodziny złośliwego oprogramowania VoidCrypt. Jego celem jest infiltracja systemów docelowych i uruchomienie silnego algorytmu szyfrowania. W rezultacie ofiary stracą dostęp do większości swoich prywatnych i biznesowych plików. Dokumenty, archiwa, bazy danych, obrazy, zdjęcia, pliki PDF i inne staną się bezużytecznecałkowicie. Zagrożenia odpowiedzialne za uwolnienie Extortionist Ransomware będą następnie szantażować swoje ofiary za pieniądze w zamian za potencjalne przywrócenie zablokowanych danych.
Jedną z wyróżniających cech zagrożenia jest specyficzne rozszerzenie, którego używa do oznaczania każdego zablokowanego pliku. Po zaszyfrowaniu pliku z docelowych typów plików złośliwe oprogramowanie dołączy do oryginalnej nazwy pliku adres e-mail, unikalny ciąg identyfikatora i nowe rozszerzenie. Adres e-mail to „openthefile@mailfence.com”, a rozszerzenie to „.Extortionist”. Żądanie okupu jest upuszczane na zhakowane urządzenia jako plik tekstowy o nazwie „Decrypt-me.txt”.
Przegląd wymagań
Zgodnie z instrukcjami hakerów pierwszym działaniem ich ofiar powinno być zlokalizowanie konkretnego pliku o nazwie „prvkey*.txt.key”. Najwyraźniej plik zawiera kluczowy klucz deszyfrujący i bez niego nawet osoby atakujące nie będą w stanie przywrócić danych, których dotyczy problem. Domyślna lokalizacja pliku to C:\ProgramData\, a znak * może być liczbą. Notatka wyjaśnia również, że okup będzie musiał zostać zapłacony przy użyciu kryptowaluty Bitcoin.
Jeśli notatce można zaufać, ofiary mogą również bezpłatnie wysłać kilka zablokowanych plików do odszyfrowania.Jednak wybrane pliki muszą mieć rozmiar mniejszy niż 1 MB i nie powinny zawierać żadnych ważnych informacji. Jako kanały komunikacji udostępniane są dwa e-maile - „openthefile@mailfence.com” i „openthefile@tutanota.com”.
Pełny tekst notatki dotyczącej Extortionist Ransomware to:
' Wszystkie twoje pliki zostały zaszyfrowane
Musisz zapłacić, aby odzyskać swoje pliki
1-Przejdź do folderu C:\ProgramData\ i wyślij nam plik prvkey*.txt.key , * może być liczbą (na przykład: prvkey3.txt.key)
2-Możesz wysłać plik mniejszy niż 1mb do testu deszyfrowania, aby nam zaufać, ale plik testowy nie powinien zawierać cennych danych
3-Płatność powinna być z Bitcoin
4-Zmiana systemu Windows bez zapisania pliku prvkey.txt.key spowoduje trwałą utratę danychNasz e-mail:openthefile@mailfence.com
w przypadku braku odpowiedzi:openthefile@tutanota.com '
