Lizard (Phobos) Ransomware

Experții în securitate cibernetică au descoperit o altă amenințare vicioasă bazată pe faimoasa familie Phobos Ransomware . Amenințarea este numită Lizard Ransomware și poate fi folosită pentru a bloca datele stocate pe dispozitivele încălcate. Algoritmul de criptare suficient de puternic asigură că restaurarea fișierelor afectate fără cheia de decriptare corectă nu va fi fezabilă practic.

Când Lizard Ransomware criptează un fișier, schimbă drastic și numele original al fișierului. Utilizatorii afectați vor observa că fișierele lor au acum un șir de identificare, o adresă de e-mail și o nouă extensie de fișier adăugată la numele lor. Șirul de identificare este generat pentru fiecare victimă diferită, în timp ce adresa de e-mail folosită de amenințare este „r3wuq@tuta.io”. Extensia fișierului este „.LIZARD”. În ceea ce privește nota de răscumpărare a amenințării, Lizard Ransomware elimină două mesaje diferite. Unul va fi afișat într-o fereastră pop-up creată dintr-un fișier „info.hta”, în timp ce celălalt este conținut într-un fișier text numit „info.txt”.

Prezentare generală a notei de răscumpărare

Fișierul text conține doar câteva propoziții. În principal, instruiește victimele amenințării să stabilească contact prin mesajul „r3wuq@tuta.io” sau, în cazul în care nu există niciun răspuns după 24 de ore, ar trebui să folosească un cont Telegram la „@Online7_365”. Mesajul principal care necesită răscumpărare este cel afișat ca o fereastră pop-up. Dezvăluie că atacatorii vor accepta doar plăți efectuate folosind criptomoneda Bitcoin. De asemenea, se precizează că actorii amenințărilor sunt dispuși să decripteze până la 5 fișiere gratuit. Cu toate acestea, fișierele alese nu trebuie să conțină informații importante și nu trebuie să depășească 4MB în dimensiune totală.

Mesajul găsit în fișierul text este:

' !!!Toate fișierele dvs. sunt criptate!!!
Pentru a le decripta trimiteți e-mail la această adresă: r3wuq@tuta.io.
Daca nu raspundem in 24h., trimite mesaj la telegram: @Online7_365 '

Nota de răscumpărare afișată de Lizard Ransomware într-o fereastră pop-up este:

' Toate fișierele dvs. au fost criptate!
Toate fișierele dvs. au fost criptate din cauza unei probleme de securitate cu computerul dvs. Dacă doriți să le restaurați, scrieți-ne la e-mail r3wuq@tuta.io
Scrieți acest ID în titlul mesajului dvs. -
Dacă nu primiți un răspuns în 24 de ore, vă rugăm să ne contactați prin contul Telegram.org: @Online7_365
Trebuie să plătiți pentru decriptare în Bitcoins. Pretul depinde de cat de repede ne scrieti. După plată, vă vom trimite instrumentul care vă va decripta toate fișierele.
Decriptare gratuită ca garanție
Înainte de a plăti, ne puteți trimite până la 5 fișiere pentru decriptare gratuită. Dimensiunea totală a fișierelor trebuie să fie mai mică de 4 Mb (nearhivate), iar fișierele nu trebuie să conțină informații valoroase. (baze de date, copii de rezervă, foi Excel mari etc.)
Cum să obțineți Bitcoins
Cel mai simplu mod de a cumpăra bitcoini este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț.
hxxps://localbitcoins.com/buy_bitcoins
De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoins și ghid pentru începători aici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenţie!
Nu redenumiți fișierele criptate.
Nu încercați să vă decriptați datele utilizând software terță parte, aceasta poate provoca pierderea permanentă a datelor.
Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate determina creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii. '