BITCOINPAYMENT Ransomware
Različica družine zlonamerne programske opreme Phobos, izsiljevalska programska oprema BITCOINPAYMENT cilja na podatke svojih žrtev in jih naredi neuporabne prek močne šifrirne rutine. Operaterji grožnje bodo nato poskušali prizadete uporabnike ali podjetja izsiljevati za denar. Opozoriti je treba, da čeprav izsiljevalska programska oprema BITCOINPAYMENT ne kaže bistvenih izboljšav ali sprememb v primerjavi z drugimi različicami Phobosa , njenega uničujočega potenciala ne smemo podcenjevati.
Na splošno izsiljevalska programska oprema BITCOINPAYMENT sledi uveljavljenemu vedenju Phobosa. Spremeni imena šifriranih datotek tako, da jim doda ID niz, e-poštni naslov in novo končnico. ID niz se ustvari za vsako žrtev, medtem ko sta e-poštni naslov in končnica 'cleverhorse@protonmail.com' in '.BITCOINPAYMENT.' Ko grožnja zaklene vse ciljne podatke, bo izsiljevalska programska oprema BITCOINPAYMENT nadaljevala s shranjevanjem dveh datotek na vdorno napravo, imenovanih 'info.hta' in 'info.txt'.
Besedilna datoteka vsebuje navodila o tem, kako lahko prizadete žrtve stopijo v stik z napadalčevim računom Jabber, da prejmejo nadaljnje podrobnosti. Omenja tudi, da je mogoče v brezplačno dešifriranje poslati do 3 šifrirane datoteke s skupno velikostjo manj kot 10 MB. Vendar pa je celotno obvestilo o odkupnini prikazano v pojavnem oknu, ustvarjenem iz datoteke hta. Tu kibernetski kriminalci pojasnjujejo, da bodo sprejeta samo plačila s kriptovaluto Bitcoin. Kar zadeva višino zahtevane odkupnine, bo ta očitno temeljila na času, ki ga žrtve potrebujejo, da vzpostavijo stik.
Celotno besedilo sporočila, prikazanega kot pojavno okno, je:
' Vse vaše datoteke so šifrirane!
Vse vaše datoteke so bile šifrirane zaradi varnostne težave z vašim računalnikom. Če jih želite obnoviti, nam pišite na e-mail cleverhorse@protonmail.com
Vpišite ta ID v naslov vašega sporočila -
Če na našo pošto ni odgovora, lahko namestite odjemalca Jabber in nam pišete v podporo na cleverhorse@xmpp.jp
Za dešifriranje morate plačati v bitcoinih. Cena je odvisna od tega, kako hitro nam pišete. Po plačilu vam bomo poslali orodje, ki bo dešifriralo vse vaše datoteke.Brezplačno dešifriranje kot jamstvo
Pred plačilom nam lahko pošljete do 1-3 datoteke za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 10Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij. (podatkovne baze, varnostne kopije, veliki excelovi listi itd.)Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Navodila za namestitev odjemalca Jabber:
Prenesite odjemalca jabber (Pidgin) s hxxps://pidgin.im/download/windows/
Po namestitvi vas bo odjemalec Pidgin pozval, da ustvarite nov račun.
Kliknite "Dodaj"
V polju "Protokol" izberite XMPP
V "Uporabniško ime" - izmislite poljubno ime
V polje "domena" - vnesite kateri koli jabber-strežnik, veliko jih je, na primer - exploit.im
Ustvari geslo
Na dnu postavite kljukico "Ustvari račun"
Kliknite dodaj
Če ste izbrali "domena" - exploit.im, se mora pojaviti novo okno, v katerem boste morali ponovno vnesti svoje podatke:
Uporabnik
geslo
Slediti boste morali povezavi do captcha (tam boste videli znake, ki jih morate vnesti v spodnje polje)
Če ne razumete naših navodil za namestitev odjemalca Pidgin, lahko najdete številne vadnice za namestitev na youtubu - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installPozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo pristojbino naši) ali pa postanete žrtev prevare.Besedilna datoteka vsebuje naslednja navodila:
Želite vrniti svoje datoteke? Pišite na naš račun xmpp - cleverhorse@xmpp.jp
Najlažji način - registracija tukaj hxxps://www.xmpp.jp/signup
Po prenosu odjemalca pidgin hxxps://pidgin.im/
Pritisnite Dodaj račun, izberite protokol xmpp in vnesite uporabniško ime iz xmpp.jp, kjer se prijavljate
Domena - xmpp.jp
Vnesite svoje geslo in pritisnite dodaj
Ko se prijavite, pritisnite Buddies --> Add Buddy-->in v uporabniško ime Buddys vnesite cleverhorse xmpp.jp
Ko boste videli dodan račun cleverhorse@xmpp.jp, dvakrat kliknite nanj in napišite svoje sporočilo
Lahko nam pošljete 1-3 testne datoteke. Skupna velikost datotek mora biti manjša od 10Mb (nearhivirano),
jih bomo dešifrirali in vam poslali, da smo resnični
Če imate težave z xmpp, nam lahko pišete na cleverhorse@protonmail.com .'
