BITCOINPAYMENT Ransomware
Variant z rodiny malvéru Phobos, BITCOINPAYMENT Ransomware sa zameriava na údaje svojich obetí a robí ich nepoužiteľnými prostredníctvom silnej šifrovacej rutiny. Prevádzkovatelia hrozby sa potom pokúsia vymámiť peniaze od dotknutých používateľov alebo spoločností. Treba poznamenať, že hoci BITCOINPAYMENT Ransomware nevykazuje žiadne významné vylepšenia alebo úpravy v porovnaní s ostatnými variantmi Phobosu , jeho deštruktívny potenciál by sa nemal podceňovať.
Vo všeobecnosti platí, že BITCOINPAYMENT Ransomware sleduje zavedené správanie Phobos. Upravuje názvy zašifrovaných súborov pridaním reťazca ID, e-mailovej adresy a novej prípony. Reťazec ID sa vygeneruje pre každú obeť, pričom e-mailová adresa a prípona sú 'cleverhorse@protonmail.com' a '.BITCOINPAYMENT.' Keď sú všetky cielené dáta uzamknuté hrozbou, BITCOINPAYMENT Ransomware zahodí dva súbory na napadnuté zariadenie s názvom „info.hta“ a „info.txt“.
Textový súbor obsahuje pokyny, ako môžu postihnuté obete kontaktovať útočníkov Jabber účet, aby získali ďalšie podrobnosti. Spomína sa tiež, že až 3 zašifrované súbory s celkovou veľkosťou menšou ako 10 MB je možné odoslať na bezplatné dešifrovanie. Úplná poznámka o výkupnom sa však zobrazí v kontextovom okne vygenerovanom zo súboru hta. Kyberzločinci tu objasňujú, že budú akceptované iba platby uskutočnené pomocou kryptomeny Bitcoin. Pokiaľ ide o výšku požadovaného výkupného, bude zrejme závisieť od času, ktorý obetiam zaberie nadviazanie kontaktu.
Celý text správy zobrazený ako kontextové okno je:
' Všetky vaše súbory boli zašifrované!
Všetky vaše súbory boli zašifrované z dôvodu bezpečnostného problému vášho počítača. Ak ich chcete obnoviť, napíšte nám na e-mail chytrýhorse@protonmail.com
Napíšte toto ID do názvu vašej správy -
Ak z našej pošty nepríde žiadna odpoveď, môžete si nainštalovať klienta Jabber a napíšte nám na adresu smarthorse@xmpp.jp
Za dešifrovanie musíte zaplatiť v bitcoinoch. Cena závisí od toho, ako rýchlo nám napíšete. Po zaplatení vám pošleme nástroj, ktorý dešifruje všetky vaše súbory.Bezplatné dešifrovanie ako záruka
Pred zaplatením nám môžete poslať až 1-3 súbory na bezplatné dešifrovanie. Celková veľkosť súborov musí byť menšia ako 10 Mb (nearchivované) a súbory by nemali obsahovať cenné informácie. (databázy, zálohy, veľké excelové hárky atď.)Ako získať bitcoiny
Najjednoduchší spôsob nákupu bitcoinov je stránka LocalBitcoins. Musíte sa zaregistrovať, kliknúť na „Kúpiť bitcoiny“ a vybrať predajcu podľa spôsobu platby a ceny.
hxxps://localbitcoins.com/buy_bitcoins
Môžete tiež nájsť ďalšie miesta na nákup bitcoinov a sprievodcu pre začiatočníkov tu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Pokyny na inštaláciu klienta Jabber:
Stiahnite si klienta jabber (Pidgin) z hxxps://pidgin.im/download/windows/
Po inštalácii vás klient Pidgin vyzve na vytvorenie nového účtu.
Kliknite na "Pridať"
V poli "Protokol" vyberte XMPP
V časti "Používateľské meno" - vymyslite ľubovoľné meno
Do poľa "doména" - zadajte ľubovoľný jabber-server, je ich veľa, napríklad - exploit.im
Vytvoriť heslo
V dolnej časti začiarknite políčko „Vytvoriť účet“
Kliknite na pridať
Ak ste vybrali "doménu" - exploit.im, malo by sa objaviť nové okno, v ktorom budete musieť znova zadať svoje údaje:
Používateľ
heslo
Budete musieť nasledovať odkaz na captcha (tam uvidíte znaky, ktoré musíte zadať do poľa nižšie)
Ak nerozumiete našim inštrukciám na inštaláciu klienta Pidgin, na youtube môžete nájsť veľa inštalačných návodov - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installPozor!
Nepremenovávajte šifrované súbory.
Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to spôsobiť trvalú stratu údajov.
Dešifrovanie vašich súborov pomocou tretích strán môže spôsobiť zvýšenie ceny (pripočítajú nám svoj poplatok) alebo sa môžete stať obeťou podvodu.Textový súbor obsahuje nasledujúce pokyny:
Chcete vrátiť svoje súbory? Napíšte na náš účet xmpp - chytrákhorse@xmpp.jp
Najjednoduchší spôsob - zaregistrujte sa tu hxxps://www.xmpp.jp/signup
Po stiahnutí pidgin klienta hxxps://pidgin.im/
Stlačte Pridať účet, vyberte protokol xmpp a zadajte používateľské meno z xmpp.jp, kde sa prihlasujete
Doména - xmpp.jp
Zadajte svoje heslo a stlačte pridať
Keď sa prihlásite, stlačte Buddies --> Add Buddy --> a do používateľského mena Buddys vložte chytrák xmpp.jp
Potom, čo sa vám zobrazí pridaný účet smarthorse@xmpp.jp, kliknite naň dvakrát a napíšte svoju správu
Môžete nám poslať 1-3 testovacie súbory. Celková veľkosť súborov musí byť menšia ako 10 Mb (nearchivované),
dešifrujeme ich a pošleme vám, že sme skutoční
Ak máte problém s xmpp, môžete nám napísať na náš mail smarthorse@protonmail.com .'
