Krlock Ransomware
Ransomware Krlock to wariant z rodziny MedusaLocker Ransomware. Chociaż Krlock Ransomware nie wykazuje większych odchyleń od zachowania i możliwości innych wariantów z MedusaLocker RansomWare rodziny, potencjał Krlock RansomWare za rażenia jest ogromna. Zagrożenie wykorzystuje proces szyfrowania, który może sprawić, że duży zestaw typów plików stanie się bezużyteczny i niedostępny. Hakerzy będą następnie wyłudzać swoje ofiary w zamian za klucz deszyfrujący i narzędzie niezbędne do przywrócenia danych. Każdy plik zablokowany przez zagrożenie będzie miał dodany do oryginalnej nazwy „.krlock" jako nowe rozszerzenie. Po całkowitym zaszyfrowaniu plików ofiary, Krlock Ransomware wygeneruje plik z notatkami o nazwie „Recovery_Instructions.html".
Żądania Krlock Ransomware
Notatka ujawnia, że zagrożenie wykorzystuje kombinację algorytmów kryptograficznych RSA i AES w ramach procesu szyfrowania. Co ważniejsze, ostrzega, że hakerzy stojący za Krlockiem byli w stanie uzyskać poufne informacje z zaatakowanych maszyn. Dane są przechowywane na prywatnym serwerze, a cyberprzestępcy grożą ujawnieniem ich opinii publicznej lub sprzedażą zainteresowanym stronom, jeśli ich żądania nie zostaną spełnione.
Aby nawiązać kontakt z hakerami, użytkownicy, których to dotyczy, muszą odwiedzić dedykowany serwer hostowany w sieci TOR. Jeśli nie są w stanie otworzyć witryny, użytkownicy mogą wysłać wiadomość na dwa podane adresy e-mail — „diniaminius@winrof.com" i „soterissylla@wyseil.com". Mogą dołączyć do 3 zaszyfrowanych plików do wiadomości e-mail, które rzekomo zostaną odszyfrowane i zwrócone. Notatka kończy się ostrzeżeniem, że po upływie 72 godzin cena okupu wzrośnie.
Pełna notatka dotycząca okupu to:
' TWÓJ OSOBISTY ID:
/!\ SIEĆ TWOJEJ FIRMY ZOSTAŁA PRZENIKNIĘTA /!\
Wszystkie Twoje ważne pliki zostały zaszyfrowane!Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)
JAKIEKOLWIEK PRÓBY PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA INNYCH FIRM
ZNISZCZY GO NA STAŁE.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.Żadne oprogramowanie dostępne w Internecie nie może Ci pomóc. Tylko my jesteśmy w stanie
rozwiązać swój problem.Zebraliśmy wysoce poufne/osobowe dane. Dane te są obecnie przechowywane na
prywatny serwer. Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane do wiadomości publicznej lub odsprzedawcy.
Możesz więc oczekiwać, że Twoje dane będą publicznie dostępne w najbliższej przyszłości..
Szukamy tylko pieniędzy, a naszym celem nie jest zniszczenie Twojej reputacji ani zapobieganie
Twój biznes od uruchomienia.Możesz wysłać nam 2-3 nieistotne pliki, a my je odszyfrujemy za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.
hxxp://gvlay6u4g53rxdi5.onion/21-arI02IQ7bCduBgWPXO675BFwq3fZcMQx-XVWGPo0nZR9aPENLrvCN9CAECFD81JUI
Zauważ, że ten serwer jest dostępny tylko przez przeglądarkę Tor
Postępuj zgodnie z instrukcjami, aby otworzyć łącze: Wpisz adres „hxxps://www.torproject.org" w przeglądarce internetowej. Otwiera witrynę Tor.
Naciśnij "Pobierz Tor", a następnie "Pobierz pakiet Tora z przeglądarką", zainstaluj i uruchom.
Teraz masz przeglądarkę Tor. W przeglądarce Tor otwórz „{{URL}}".
Rozpocznij czat i postępuj zgodnie z dalszymi instrukcjami.
Jeśli nie możesz skorzystać z powyższego linku, skorzystaj z e-maila:
diniaminius@winrof.com
soterissylla@wyseil.comAby się z nami skontaktować, utwórz nową pocztę na stronie: protonmail.com
Jak najszybciej nawiąż kontakt. Twój klucz prywatny (klucz deszyfrujący)
jest przechowywany tylko tymczasowo.JEŚLI NIE SKONTAKTUJ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA. '
