Lizard (Phobos) Ransomware

Os especialistas em segurança cibernética descobriram outra ameaça de malware com base na notória família do Phobos Ransomware. A ameaça é chamada de Lizard Ransomware e pode ser usada para bloquear os dados armazenados em dispositivos violados. O algoritmo de criptografia suficientemente forte garante que a restauração dos arquivos afetados sem a chave de descriptografia correta não seja viável na prática.

Quando o Lizard Ransomware criptografa um arquivo, ele também altera drasticamente o nome original desse arquivo. Os usuários afetados perceberão que seus arquivos agora têm uma string de ID, um endereço de e-mail e uma nova extensão de arquivo anexada aos seus nomes. A string de ID é gerada para cada vítima diferente, enquanto o endereço de e-mail usado pela ameaça é 'r3wuq@tuta.io.' A extensão do arquivo é '.LIZARD.' Quanto à nota de resgate da ameaça, o Lizard Ransomware descarta duas mensagens diferentes. Um será exibido em uma janela pop-up criada a partir de um arquivo 'info.hta', enquanto o outro está contido em um arquivo de texto chamado 'info.txt'.

Visão Geral da Nota de Resgate

O arquivo de texto contém apenas algumas frases. Ele instrui principalmente as vítimas da ameaça a estabelecerem contato enviando mensagens para o 'r3wuq@tuta.io', ou, caso não haja resposta após 24 horas, devem usar uma conta do Telegram em '@Online7_365.' A principal mensagem de resgate é aquela mostrada como uma janela pop-up. Ele revela que os invasores só aceitarão pagamentos feitos usando a cripto-moeda Bitcoin. Ele também afirma que os agentes de ameaças estão dispostos a descriptografar até 5 arquivos gratuitamente. No entanto, os arquivos escolhidos não devem conter nenhuma informação importante e não devem exceder 4 MB de tamanho total.

A mensagem encontrada no arquivo de texto é:

'!!!Todos os seus arquivos são criptografados!!!
Para descriptografá-los, envie um e-mail para este endereço: r3wuq@tuta.io.
Se não respondermos em 24h., envie mensagem para o telegram: @Online7_365'

A nota de resgate exibida pelo Lizard Ransomware em uma janela pop-up é:

'Todos os seus arquivos foram criptografados!
Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se você quiser restaurá-los, escreva-nos para o e-mail r3wuq@tuta.io
Escreva este ID no título da sua mensagem -
Se você não receber uma resposta em 24 horas, entre em contato conosco pela conta do Telegram.org: @Online7_365
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento, enviaremos a ferramenta que descriptografará todos os seus arquivos.
Descriptografia gratuita como garantia
Antes de pagar, você pode nos enviar até 5 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 4Mb (não arquivados), e os arquivos não devem conter informações valiosas. (bancos de dados, backups, grandes planilhas do Excel, etc.)
Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é o site LocalBitcoins. Você precisa se registrar, clicar em 'Comprar bitcoins' e selecionar o vendedor por meio de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode causar aumento de preço (eles adicionam sua taxa à nossa) ou você pode se tornar vítima de um golpe.'