Lizard (Phobos) Ransomware

Эксперты по кибербезопасности обнаружили еще одну опасную угрозу вредоносного ПО, основанную на печально известном семействе программ- вымогателей Phobos . Угроза называется Lizard Ransomware и может использоваться для блокировки данных, хранящихся на взломанных устройствах. Достаточно надежный алгоритм шифрования гарантирует, что восстановление поврежденных файлов без правильного ключа дешифрования будет практически невозможно.

Когда программа-вымогатель Lizard шифрует файл, она также кардинально меняет исходное имя этого файла. Затронутые пользователи заметят, что их файлы теперь имеют строку идентификатора, адрес электронной почты и новое расширение файла, добавленное к их именам. Строка идентификатора создается для каждой отдельной жертвы, а адрес электронной почты, используемый угрозой, — «r3wuq@tuta.io». Расширение файла «.LIZARD». Что касается примечания о выкупе угрозы, программа-вымогатель Lizard отправляет два разных сообщения. Один будет отображаться во всплывающем окне, созданном из файла «info.hta», а другой содержится внутри текстового файла с именем «info.txt».

Обзор Ransom Note

Текстовый файл содержит всего пару предложений. В основном он инструктирует жертв угрозы установить контакт, отправив сообщение на «r3wuq@tuta.io», или, в случае отсутствия ответа в течение 24 часов, им следует использовать учетную запись Telegram на «@Online7_365». Основное сообщение с требованием выкупа отображается в виде всплывающего окна. Это показывает, что злоумышленники будут принимать платежи только с использованием криптовалюты Биткойн. В нем также говорится, что злоумышленники готовы бесплатно расшифровать до 5 файлов. Однако выбранные файлы не должны содержать никакой важной информации и их общий размер не должен превышать 4 МБ.

Сообщение, найденное в текстовом файле:

' !!!Все ваши файлы зашифрованы!!!
Для их расшифровки отправьте электронное письмо на этот адрес: r3wuq@tuta.io.
Если мы не ответим в течение 24 часов, отправьте сообщение в телеграмм: @Online7_365 '

Примечание о выкупе, отображаемое Lizard Ransomware во всплывающем окне:

' Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК. Если вы хотите их восстановить, напишите нам на почту r3wuq@tuta.io
Напишите этот ID в заголовке вашего сообщения -
Если вы не получили ответ в течение 24 часов, свяжитесь с нами через аккаунт Telegram.org: @Online7_365
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткойны, и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников. '