BITCOINPAYпрограмма-вымогатель
Вариант семейства вредоносных программ Phobos, BITCOINPAYMENT Ransomware нацелен на данные своих жертв и делает их непригодными для использования с помощью надежной процедуры шифрования. Затем операторы угрозы попытаются вымогать деньги у пострадавших пользователей или компаний. Следует отметить, что, хотя BITCOINPAYMENT Ransomware не имеет каких-либо значительных улучшений или модификаций по сравнению с другими вариантами Phobos , его разрушительный потенциал не следует недооценивать.
В целом, программа-вымогатель BITCOINPAYMENT следует установленному поведению Phobos. Он изменяет имена зашифрованных файлов, добавляя к ним строку идентификатора, адрес электронной почты и новое расширение. Строка идентификатора создается для каждой жертвы, а адрес электронной почты и расширение — «cleverhorse@protonmail.com» и «.BITCOINPAYMENT». Когда все целевые данные будут заблокированы угрозой, программа-вымогатель BITCOINPAYMENT продолжит размещать на взломанном устройстве два файла с именами «info.hta» и «info.txt».
Текстовый файл содержит инструкции о том, как затронутые жертвы могут связаться с учетной записью злоумышленника в Jabber, чтобы получить дополнительные сведения. В нем также упоминается, что до 3 зашифрованных файлов общим размером менее 10 МБ могут быть отправлены на расшифровку бесплатно. Однако полное примечание о выкупе отображается во всплывающем окне, созданном из файла hta. Здесь киберпреступники уточняют, что будут приниматься только платежи, совершенные с использованием криптовалюты Биткойн. Что касается размера требуемого выкупа, то он, по всей видимости, будет основываться на времени, которое потребуется жертвам для установления контакта.
Полный текст сообщения, показанного в виде всплывающего окна:
' Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту smarthorse@protonmail.com
Напишите этот ID в заголовке вашего сообщения -
Если нет ответа от нашей почты, вы можете установить Jabber клиент и написать нам в поддержку smarthorse@xmpp.jp
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1-3 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 10 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Инструкции по установке клиента Jabber:
Загрузите клиент jabber (Pidgin) с hxxps://pidgin.im/download/windows/
После установки клиент Pidgin предложит вам создать новую учетную запись.
Нажмите «Добавить»
В поле «Протокол» выберите XMPP
В "Имя пользователя" - придумать любое имя
В поле "домен" - введите любой jabber-сервер, их много, например -exploit.im
Создайте пароль
Внизу ставим галочку "Создать аккаунт"
Нажмите добавить
Если вы выбрали «домен» —exploit.im, то должно появиться новое окно, в котором вам нужно будет повторно ввести свои данные:
Пользователь
пароль
Вам нужно будет перейти по ссылке на капчу (там вы увидите символы, которые нужно ввести в поле ниже)
Если вы не понимаете наши инструкции по установке клиента Pidgin, вы можете найти множество руководств по установке на YouTube — hxxps://www.youtube.com/results?search_query=pidgin+jabber+installВнимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.Текстовый файл содержит следующие инструкции:
Хотите вернуть свои файлы? Пишите на наш xmpp аккаунт - smarthorse@xmpp.jp
Самый простой способ - зарегистрироваться здесь hxxps://www.xmpp.jp/signup
После скачивания клиента pidgin hxxps://pidgin.im/
Нажмите Добавить учетную запись, выберите протокол xmpp и введите имя пользователя из xmpp.jp, где вы регистрируетесь
Домен - xmpp.jp
Введите свой пароль и нажмите добавить
Когда вы войдете в систему, нажмите «Друзья» -> «Добавить друга» -> и в имени пользователя «Друзей» введите «умный» xmpp.jp.
После того, как вы увидите добавленную учетную запись smarthorse@xmpp.jp, нажмите на нее два раза и напишите свое сообщение.
Вы можете отправить нам 1-3 тестовых файла. Общий размер файлов должен быть менее 10 Мб (не в архиве),
мы расшифруем их и отправим вам, что мы настоящие
Если у вас возникли проблемы с xmpp, вы можете написать нам на почту smarthorse@protonmail.com .