BITCOINPAYMENT Ransomware
O variantă a familiei de malware Phobos, BITCOINPAYMENT Ransomware vizează datele victimelor sale și le face inutilizabile printr-o rutină puternică de criptare. Operatorii amenințării vor încerca apoi să stoarcă utilizatorii sau companiile afectate pentru bani. Trebuie remarcat faptul că, deși BITCOINPAYMENT Ransomware nu prezintă îmbunătățiri sau modificări semnificative în comparație cu celelalte variante Phobos , potențialul său distructiv nu trebuie subestimat.
În general, BITCOINPAYMENT Ransomware urmează comportamentul Phobos stabilit. Modifică numele fișierelor criptate adăugând un șir de identificare, o adresă de e-mail și o nouă extensie la acestea. Șirul de identificare este generat pentru fiecare victimă, în timp ce adresa de e-mail și extensia sunt „cleverhorse@protonmail.com” și „.BITCOINPAYMENT”. Când toate datele vizate au fost blocate de amenințare, BITCOINPAYMENT Ransomware va continua să arunce două fișiere pe dispozitivul încălcat, denumite „info.hta” și „info.txt”.
Fișierul text conține instrucțiuni despre modul în care victimele afectate pot contacta contul Jabber al atacatorului pentru a primi detalii suplimentare. De asemenea, se menționează că până la 3 fișiere criptate cu o dimensiune totală mai mică de 10MB pot fi trimise pentru a fi decriptate gratuit. Cu toate acestea, nota de răscumpărare completă este afișată într-o fereastră pop-up generată din fișierul hta. Aici, infractorii cibernetici clarifică că vor fi acceptate doar plățile efectuate folosind criptomoneda Bitcoin. În ceea ce privește mărimea răscumpărării cerute, se pare că aceasta se va baza pe timpul necesar victimelor pentru a stabili contactul.
Textul complet al mesajului afișat ca fereastră pop-up este:
' Toate fișierele dvs. au fost criptate!
Toate fișierele dvs. au fost criptate din cauza unei probleme de securitate la computer. Dacă doriți să le restaurați, scrieți-ne la adresa de e-mail cleverhorse@protonmail.com
Scrieți acest ID în titlul mesajului dvs. -
Dacă nu există niciun răspuns din e-mailul nostru, puteți instala clientul Jabber și ne scrieți în sprijinul cleverhorse@xmpp.jp
Trebuie să plătiți pentru decriptare în Bitcoins. Pretul depinde de cat de repede ne scrieti. După plată, vă vom trimite instrumentul care vă va decripta toate fișierele.Decriptare gratuită ca garanție
Înainte de a plăti, ne puteți trimite până la 1-3 fișiere pentru decriptare gratuită. Dimensiunea totală a fișierelor trebuie să fie mai mică de 10 Mb (nearhivate), iar fișierele nu trebuie să conțină informații valoroase. (baze de date, copii de rezervă, foi Excel mari etc.)Cum să obțineți Bitcoins
Cel mai simplu mod de a cumpăra bitcoini este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț.
hxxps://localbitcoins.com/buy_bitcoins
De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoins și ghid pentru începători aici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Instrucțiuni de instalare a clientului Jabber:
Descărcați clientul jabber (Pidgin) de pe hxxps://pidgin.im/download/windows/
După instalare, clientul Pidgin vă va solicita să creați un cont nou.
Faceți clic pe „Adăugați”
În câmpul „Protocol”, selectați XMPP
În „Nume de utilizator” - veniți cu orice nume
În câmpul „domeniu” - introduceți orice jabber-server, există o mulțime, de exemplu - exploit.im
Crează o parolă
În partea de jos, bifați „Creați cont”
Faceți clic pe adăugați
Dacă ați selectat „domeniu” - exploit.im, atunci ar trebui să apară o nouă fereastră în care va trebui să reintroduceți datele:
Utilizator
parola
Va trebui să urmați linkul către captcha (acolo veți vedea caracterele pe care trebuie să le introduceți în câmpul de mai jos)
Dacă nu înțelegeți instrucțiunile noastre de instalare a clientului Pidgin, puteți găsi multe tutoriale de instalare pe youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAtenţie!
Nu redenumiți fișierele criptate.
Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor.
Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate determina creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.Fișierul text conține următoarele instrucțiuni:
Doriți să vă returnați fișierele? Scrieți în contul nostru xmpp - cleverhorse@xmpp.jp
Cel mai simplu mod - înregistrează-te aici hxxps://www.xmpp.jp/signup
După descărcarea clientului pidgin hxxps://pidgin.im/
Apăsați Adăugați cont, alegeți protocolul xmpp și puneți numele de utilizator din xmpp.jp unde vă înregistrați
Domeniu - xmpp.jp
Pune parola și apasă pe adăugare
Când vă conectați apăsați Buddies --> Adaugă Buddy --> și în numele de utilizator Buddys puneți cleverhorse xmpp.jp
După ce veți vedea contul adăugat cleverhorse@xmpp.jp, faceți clic de două ori pe el și scrieți mesajul dvs.
Ne puteți trimite 1-3 fișiere de testare. Dimensiunea totală a fișierelor trebuie să fie mai mică de 10 Mb (nearhivate),
le vom decripta și vă vom trimite că suntem reali
Dacă aveți o problemă cu xmpp, puteți scrie la e-mailul nostru cleverhorse@protonmail.com .'
