Unknown Ransomware

Badacze odkryli nowy wariant ransomware, który jest śledzony jako Unknown Ransomware. To groźne oprogramowanie szyfruje pliki i zmienia ich nazwy, dodając do nich identyfikator ofiary, adres e-mail „masterfix@tuta.io” i rozszerzenie „.unknown”. Unknown Ransomware tworzy również dwa żądania okupu w postaci plików „info.hta” i „info.txt”. Nieznane oprogramowanie ransomware należy do rodziny złośliwych programów Phobos .

Przegląd żądań Unknown Ransomware

Unknown Ransomware szyfruje dane ofiar i żąda zapłaty okupu w zamian za odszyfrowanie. Ofiary proszone są o skontaktowanie się z cyberprzestępcami za pośrednictwem poczty e-mail („masterfix@tuta.io”) lub telegramu („@Stop_24”) w celu otrzymania dalszych instrukcji. Główna notatka z żądaniem okupu ('info.hta') stwierdza, że cena za odszyfrowanie danych zależy od tego, jak szybko ofiary skontaktują się z cyberprzestępcą. Ostrzega również przed próbami odszyfrowania plików przy użyciu oprogramowania innych firm, ponieważ może to spowodować trwałą utratę danych. Ofiary mają szansę wysłać do pięciu plików w celu bezpłatnego odszyfrowania.

W jaki sposób zagrożenia, takie jak Unknown Ransomware, infekują urządzenia?

Jedną z najbardziej preferowanych metod rozprzestrzeniania oprogramowania ransomware są załączniki wiadomości e-mail będące bronią. Te wiadomości e-mail często zawierają pliki wykonywalne zawierające złośliwe oprogramowanie lub uszkodzone makra osadzone w dokumentach, które infekują system, gdy ofiary je otworzą.

Drive-by download lub złośliwe reklamy mogą być również wykorzystywane jako sposób rozpowszechniania zagrożeń ransomware. Drive-by download umożliwia hakerom zdalne instalowanie złośliwego oprogramowania na komputerach niczego niepodejrzewających użytkowników bez ich wiedzy i zgody. Często używają wyskakujących okienek lub przekierowań, które zmuszają użytkowników do pobrania ukrytego ransomware na ich systemy bez odwiedzania strony internetowej, klikania załącznika do wiadomości e-mail lub zgadzania się na wszelkiego rodzaju monity o pobranie.

Żądanie okupu jest wyświetlane w oknie pop-up i brzmi:

„Wszystkie twoje pliki zostały zaszyfrowane!
Wszystkie twoje pliki zostały zaszyfrowane z powodu problemu z bezpieczeństwem twojego komputera. Jeśli chcesz je przywrócić, napisz do nas na adres e-mail masterfix@tuta.io
Wpisz ten identyfikator w tytule wiadomości -
Jeśli nie otrzymasz odpowiedzi w ciągu 24 godzin, skontaktuj się z nami przez konto Telegram.org: @Stop_24
Za odszyfrowanie trzeba zapłacić w bitcoinach. Cena zależy od tego, jak szybko do nas napiszesz. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.
Bezpłatne odszyfrowywanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 5 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (niearchiwizowane), a pliki nie powinny zawierać wartościowych informacji. (bazy danych, kopie zapasowe, duże arkusze Excela itp.)
Jak zdobyć Bitcoiny
Najprostszym sposobem na zakup bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do kupowania Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczą swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.'

Wiadomość z żądaniem okupu dostarczona jako plik tekstowy brzmi:

'!!!Wszystkie twoje pliki są zaszyfrowane!!!
Aby je odszyfrować, wyślij e-mail na ten adres: masterfix@tuta.io.
Jeśli nie odbieramy w ciągu 24h, wyślij wiadomość na telegram: @Stop_24'