BITCOINPAYпрограмма-вымогатель

Вариант семейства вредоносных программ Phobos, BITCOINPAYMENT Ransomware нацелен на данные своих жертв и делает их непригодными для использования с помощью надежной процедуры шифрования. Затем операторы угрозы попытаются вымогать деньги у пострадавших пользователей или компаний. Следует отметить, что, хотя BITCOINPAYMENT Ransomware не имеет каких-либо значительных улучшений или модификаций по сравнению с другими вариантами Phobos , его разрушительный потенциал не следует недооценивать.

В целом, программа-вымогатель BITCOINPAYMENT следует установленному поведению Phobos. Он изменяет имена зашифрованных файлов, добавляя к ним строку идентификатора, адрес электронной почты и новое расширение. Строка идентификатора создается для каждой жертвы, а адрес электронной почты и расширение — «cleverhorse@protonmail.com» и «.BITCOINPAYMENT». Когда все целевые данные будут заблокированы угрозой, программа-вымогатель BITCOINPAYMENT продолжит размещать на взломанном устройстве два файла с именами «info.hta» и «info.txt».

Текстовый файл содержит инструкции о том, как затронутые жертвы могут связаться с учетной записью злоумышленника в Jabber, чтобы получить дополнительные сведения. В нем также упоминается, что до 3 зашифрованных файлов общим размером менее 10 МБ могут быть отправлены на расшифровку бесплатно. Однако полное примечание о выкупе отображается во всплывающем окне, созданном из файла hta. Здесь киберпреступники уточняют, что будут приниматься только платежи, совершенные с использованием криптовалюты Биткойн. Что касается размера требуемого выкупа, то он, по всей видимости, будет основываться на времени, которое потребуется жертвам для установления контакта.

Полный текст сообщения, показанного в виде всплывающего окна:

' Все ваши файлы были зашифрованы!

Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту smarthorse@protonmail.com
Напишите этот ID в заголовке вашего сообщения -
Если нет ответа от нашей почты, вы можете установить Jabber клиент и написать нам в поддержку smarthorse@xmpp.jp
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.

Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1-3 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 10 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Инструкции по установке клиента Jabber:
Загрузите клиент jabber (Pidgin) с hxxps://pidgin.im/download/windows/
После установки клиент Pidgin предложит вам создать новую учетную запись.
Нажмите «Добавить»
В поле «Протокол» выберите XMPP
В "Имя пользователя" - придумать любое имя
В поле "домен" - введите любой jabber-сервер, их много, например -exploit.im
Создайте пароль
Внизу ставим галочку "Создать аккаунт"
Нажмите добавить
Если вы выбрали «домен» —exploit.im, то должно появиться новое окно, в котором вам нужно будет повторно ввести свои данные:
Пользователь
пароль
Вам нужно будет перейти по ссылке на капчу (там вы увидите символы, которые нужно ввести в поле ниже)
Если вы не понимаете наши инструкции по установке клиента Pidgin, вы можете найти множество руководств по установке на YouTube — hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Текстовый файл содержит следующие инструкции:

Хотите вернуть свои файлы? Пишите на наш xmpp аккаунт - smarthorse@xmpp.jp
Самый простой способ - зарегистрироваться здесь hxxps://www.xmpp.jp/signup
После скачивания клиента pidgin hxxps://pidgin.im/
Нажмите Добавить учетную запись, выберите протокол xmpp и введите имя пользователя из xmpp.jp, где вы регистрируетесь
Домен - xmpp.jp
Введите свой пароль и нажмите добавить
Когда вы войдете в систему, нажмите «Друзья» -> «Добавить друга» -> и в имени пользователя «Друзей» введите «умный» xmpp.jp.
После того, как вы увидите добавленную учетную запись smarthorse@xmpp.jp, нажмите на нее два раза и напишите свое сообщение.
Вы можете отправить нам 1-3 тестовых файла. Общий размер файлов должен быть менее 10 Мб (не в архиве),
мы расшифруем их и отправим вам, что мы настоящие
Если у вас возникли проблемы с xmpp, вы можете написать нам на почту smarthorse@protonmail.com .