BITCOINPAYMENT Ransomware
Uma variante da família de malware Phobos, o BITCOINPAYMENT Ransomware visa os dados de suas vítimas e os torna inutilizáveis por meio de uma forte rotina de criptografia. Os operadores da ameaça tentarão então extorquir dinheiro dos usuários ou empresas afetadas. Deve-se notar que, embora o BITCOINPAYMENT Ransomware não apresente melhorias ou modificações significativas quando comparado às outras variantes do Phobos, seu potencial destrutivo não deve ser subestimado.
Em geral, o BITCOINPAYMENT Ransomware segue o comportamento estabelecido do Phobos. Ele modifica os nomes dos arquivos criptografados adicionando uma string de ID, um endereço de e-mail e uma nova extensão a eles. A string de ID é gerada para cada vítima, enquanto o endereço de e-mail e a extensão são 'cleverhorse@protonmail.com' e '.BITCOINPAYMENT.' Quando todos os dados direcionados forem bloqueados pela ameaça, o BITCOINPAYMENT Ransomware continuará a soltar dois arquivos no dispositivo violado, denominados 'info.hta' e 'info.txt'.
O arquivo de texto contém instruções sobre como as vítimas afetadas podem entrar em contato com a conta Jabber do invasor para receber mais detalhes. Ele também menciona que até 3 arquivos criptografados com um tamanho total inferior a 10 MB podem ser enviados para serem descriptografados gratuitamente. No entanto, a nota de resgate completa é exibida em uma janela pop-up gerada a partir do arquivo hta. Aqui, os cibercriminosos esclarecem que apenas serão aceitos pagamentos feitos com a criptomoeda Bitcoin. Quanto ao tamanho do resgate exigido, aparentemente será baseado no tempo que as vítimas levam para estabelecer contato.
O texto completo da mensagem mostrada como uma janela pop-up é:
'Todos os seus arquivos foram criptografados!
Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se você quiser restaurá-los, escreva-nos para o e-mail inteligentehorse@protonmail.com
Escreva este ID no título da sua mensagem -
Se não houver resposta de nosso e-mail, você pode instalar o cliente Jabber e escrever para nós em suporte para intelligenthorse@xmpp.jp
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento, enviaremos a ferramenta que descriptografará todos os seus arquivos.Descriptografia gratuita como garantia
Antes de pagar, você pode nos enviar até 1-3 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 10Mb (não arquivados), e os arquivos não devem conter informações valiosas. (bancos de dados, backups, grandes planilhas do Excel, etc.)Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é o site LocalBitcoins. Você precisa se registrar, clicar em 'Comprar bitcoins' e selecionar o vendedor por meio de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Instruções de instalação do cliente Jabber:
Baixe o cliente jabber (Pidgin) em hxxps://pidgin.im/download/windows/
Após a instalação, o cliente Pidgin solicitará que você crie uma nova conta.
Clique em "Adicionar"
No campo "Protocolo", selecione XMPP
Em "Nome de usuário" - invente qualquer nome
No campo "domínio" - digite qualquer servidor jabber, há muitos deles, por exemplo - exploit.im
Criar uma senha
Na parte inferior, marque "Criar conta"
Clique em adicionar
Se você selecionou "domínio" - exploit.im, uma nova janela deve aparecer na qual você precisará inserir novamente seus dados:
Do utilizador
senha
Você precisará seguir o link para o captcha (lá você verá os caracteres que precisa inserir no campo abaixo)
Se você não entender nossas instruções de instalação do cliente Pidgin, você pode encontrar muitos tutoriais de instalação no youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAtenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode causar aumento de preço (eles adicionam sua taxa à nossa) ou você pode se tornar vítima de um golpe.O arquivo de texto contém as seguintes instruções:
Quer devolver seus arquivos? Escreva para nossa conta xmpp - intelligenthorse@xmpp.jp
A maneira mais fácil - registre-se aqui hxxps://www.xmpp.jp/signup
Depois de baixar o cliente pidgin hxxps://pidgin.im/
Pressione Adicionar conta, escolha o protocolo xmpp e coloque o nome de usuário de xmpp.jp onde você se inscreve
Domínio - xmpp.jp
Coloque sua senha e pressione adicionar
Quando você entrar, pressione Buddies --> Add Buddy --> e no nome de usuário do Buddys coloque smarthorse xmpp.jp
Depois de ver a conta adicionada inteligentehorse@xmpp.jp, clique duas vezes nela e escreva sua mensagem
Você pode nos enviar 1-3 arquivos de teste. O tamanho total dos arquivos deve ser inferior a 10Mb (não arquivado),
vamos decifrá-los e enviar para você que somos reais
Se você tiver um problema com o xmpp, pode escrever para nosso e-mail intelligenthorse@protonmail.com.'
