Cip Ransomware

Por CagedTech em Ransomware

Traduzir Para:

Os pesquisadores da Infosec identificaram outra ameaça destrutiva de ransomware que faz parte da família de ransomware Dharma. Chamada de Cip Ransowmare, a ameaça segue de perto o comportamento típico do Dharma sem exibir nenhum desvio significativo. O dano que pode causar aos sistemas de computador infectados não deve ser subestimado, no entanto.

Cip utiliza um algoritmo de criptografia forte para bloquear quase todos os arquivos de suas vítimas. Os usuários afetados serão impedidos de acessar ou usar de qualquer forma seus documentos, PODFs, arquivos, bancos de dados, imagens, fotos, arquivos de áudio e vídeo, etc. Durante o processo de criptografia, o Cip Ransomware também modificará os nomes dos arquivos visados. A ameaça segue o padrão usual de nomenclatura do Dharma, acrescentando primeiro uma cadeia de caracteres que atua como o ID da vítima. Em seguida, o Cip anexa um endereço de e-mail controlado por seus operadores. Finalmente, '.cip' será adicionado como uma nova extensão de arquivo.

As vítimas ficarão com duas notas de resgate contendo instruções dos atacantes. Um será colocado na área de trabalho do sistema comprometido como um arquivo de texto chamado 'info.txt'. A outra nota será exibida em uma nova janela pop-up.

Demandas do Cip Ransomware

O objetivo da ameaça é extorquir dinheiro em troca da restauração dos dados da vítima. Ambas as notas de resgate, no entanto, carecem de muitos dos detalhes cruciais observados em outras ameaças de ransomware. As mensagens não mencionam o valor do resgate exigido, se os fundos precisam ser transferidos usando uma criptomoeda específica ou se os invasores estão dispostos a demonstrar sua capacidade de descriptografar os dados desbloqueando alguns arquivos gratuitamente.

Em vez disso, a nota no arquivo de texto lista os dois e-mails que as vítimas podem usar para comunicação - 'ciphercrypt@tuta.io' e 'cipherc@onionmail.org'. As instruções na janela pop-up não são muito úteis. Eles simplesmente contêm uma seção com vários avisos, como não renomear os arquivos criptografados ou executar descriptografadores de terceiros, pois isso pode danificar os dados e tornar os arquivos irrecuperáveis.

A mensagem pop-up é:

SEUS ARQUIVOS SÃO CRIPTOGRAFADOS
1024
Não se preocupe, você pode devolver todos os seus arquivos!
Se você deseja restaurá-los, escreva para o e-mail: ciphercrypt@tuta.io SEU ID -
Se você não tiver respondido por correio dentro de 12 horas, escreva-nos por outro e-mail: cipherc@onionmail.org
ATENÇÃO!
Recomendamos que você entre em contato conosco diretamente para evitar o pagamento excessivo de agentes
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode causar um aumento do preço (eles adicionam a sua taxa à nossa) ou pode tornar-se vítima de um esquema fraudulento.

A nota encontrada dentro do arquivo de texto é:

todos os seus dados nos foram bloqueados
Você quer voltar?
escreva e-mail ciphercrypt@tuta.io ou cipherc@onionmail.org