Cip-вымогатели

Исследователи Infosec выявили еще одну разрушительную угрозу программ-вымогателей, которая является частью семейства программ-вымогателей Dharma. Названная Cip Ransowmare, угроза точно следует типичному поведению Дхармы, не проявляя каких-либо существенных отклонений. Однако нельзя недооценивать ущерб, который он может нанести зараженным компьютерным системам.

Cip использует надежный алгоритм шифрования для блокировки почти всех файлов своей жертвы. Затронутым пользователям будет запрещено получать доступ или каким-либо образом использовать свои документы, PODF, архивы, базы данных, изображения, фотографии, аудио- и видеофайлы и т. д. В процессе шифрования Cip Ransomware также изменит имена целевых файлов. Угроза придерживается обычного шаблона именования Dharma, сначала добавляя строку символов, которая действует как идентификатор жертвы. Затем Cip добавляет адрес электронной почты, контролируемый его операторами. Наконец, в качестве нового расширения файла будет добавлено «.cip».

Жертвам останутся две записки с требованием выкупа, содержащие инструкции от нападавших. Один из них будет размещен на рабочем столе скомпрометированной системы в виде текстового файла с именем «info.txt». Другая заметка будет отображаться в новом всплывающем окне.

Требования Cip Ransomware

Цель угрозы — вымогательство денег в обмен на восстановление данных жертвы. Однако в обеих его заметках о выкупе отсутствуют многие важные детали, наблюдаемые в других угрозах программ-вымогателей. В сообщениях не упоминается сумма требуемого выкупа, если средства должны быть переведены с использованием определенной криптовалюты, или если злоумышленники хотят продемонстрировать свою способность расшифровать данные, бесплатно разблокировав пару файлов.

Вместо этого в примечании к текстовому файлу перечислены два электронных адреса, которые жертвы могут использовать для связи: «ciphercrypt@tuta.io» и «cipherc@onionmail.org». Инструкции во всплывающем окне не очень полезны. Они просто содержат раздел с различными предупреждениями, такими как не переименовывать зашифрованные файлы или запускать сторонние расшифровщики, поскольку это может повредить данные и сделать файлы невосстановимыми.

Всплывающее сообщение:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
1024
Не волнуйтесь, вы можете вернуть все свои файлы!
Если вы хотите их восстановить, напишите на почту: ciphercrypt@tuta.io ВАШ ID -
Если вам не ответили по почте в течении 12 часов, напишите нам на другую почту:cipherc@onionmail.org
ВНИМАНИЕ!
Мы рекомендуем вам связаться с нами напрямую, чтобы избежать переплаты агентам
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Примечание, найденное внутри текстового файла:

все ваши данные были заблокированы нами
Вы хотите вернуться?
написать на почту ciphercrypt@tuta.io или cipherc@onionmail.org