TEREN Ransomware
TEREN Ransomware to nowe zagrożenie ransomware wywodzące się z płodnej rodziny ransomware opartej na Dharma Ransomware. Najbardziej znaczącymi różnicami między TEREN a innymi członkami rodziny złośliwego oprogramowania Dharma są rozszerzenia, których używa do wszystkich zaszyfrowanych plików oraz adresy e-mail do kontaktu z hakerami.
Po udanej infiltracji, TEREN Ransomware zaczyna szyfrować pliki przechowywane w systemie komputerowym za pomocą niemożliwego do złamania algorytmu kryptograficznego, skutecznie blokując użytkownikom dostęp do ich własnych prywatnych plików. Cyberprzestępcy zażądają następnie zapłaty okupu, zwykle w Bitcoinie, w zamian za klucz lub narzędzie deszyfrujące, które może potencjalnie przywrócić zablokowane dane. Jak wszystkie warianty Dharmy, TEREN Ransomware również znacząco modyfikuje nazwy każdego zaszyfrowanego pliku. Najpierw dołącza unikalny ciąg alfanumeryczny reprezentujący identyfikator konkretnej ofiary, po którym następuje adres e-mail kontrolowany przez hakerów, a na końcu „ .TEREN " jako nowe rozszerzenie.
TEREN Ransomware jest zaprogramowany do dostarczania dwóch notatek okupu, jednej w formie pliku tekstowego, który można znaleźć w każdym folderze z zaszyfrowanymi danymi, a drugą wyświetlaną w wyskakującym okienku. Pliki tekstowe mają nazwę „FILES ENCRYPTED.txt" i zawierają tylko kilka wierszy tekstu, głównie dwa adresy e-mail hakerów - „databack44@tuta.io" i „decrypt24@gytmail.com". Wyskakujące okienko zawiera odpowiednie instrukcje od cyberprzestępców. Chociaż nie wymieniono żadnej konkretnej kwoty, w notatce podano, że cena będzie zależeć od tego, jak szybko zainteresowani użytkownicy zainicjowali komunikację. Mogą również wysłać jeden plik o rozmiarze mniejszym niż 1 MB w celu bezpłatnego odszyfrowania. Ponadto drugi adres e-mail - decrypt24@gytmail.com ma być używany tylko w przypadku, gdy minęły 24 godziny, a ofiary nie otrzymały odpowiedzi na podstawowy e-mail.
Wiadomość z plików tekstowych utworzonych przez Ransomware TEREN to:
„wszystkie twoje dane zostały nam zablokowane
Chcesz wrócić?
Napisz email databack44@tuta.io lub decrypt24@gytmail.com. '
Instrukcje w wyskakującym okienku to:
„Wszystkie twoje pliki zostały zaszyfrowane!
Wszystkie twoje pliki zostały zaszyfrowane z powodu problemu z bezpieczeństwem twojego komputera. Jeśli chcesz je przywrócić, napisz do nas na adres e-mail databack44@tuta.io
Wpisz ten identyfikator w tytule wiadomości -
W przypadku braku odpowiedzi w ciągu 24 godzin napisz do nas na te e-maile: decrypt24@gytmail.com
Musisz zapłacić za odszyfrowanie w Bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie deszyfrujące, które odszyfruje wszystkie Twoje pliki.
Darmowe odszyfrowanie jako gwarancja
Przed zapłaceniem możesz przesłać nam maksymalnie 1 plik do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 1 MB (nie zarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)
Jak zdobyć Bitcoiny
Najłatwiejszym sposobem zakupu bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny" i wybrać sprzedawcę według metody płatności i ceny.
hxxps: //localbitcoins.com/buy_bitcoins
Możesz również znaleźć inne miejsca do kupienia bitcoinów i przewodnik dla początkujących:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrować danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
Odszyfrowanie plików przy pomocy osób trzecich może spowodować wzrost ceny (dodają one swoją opłatę do naszej) lub stać się ofiarą oszustwa ".
