Cip Ransomware

Raziskovalci Infosec so odkrili še eno uničujočo grožnjo izsiljevalske programske opreme, ki je del družine izsiljevalske programske opreme Dharma. Grožnja, imenovana Cip Ransowmare, tesno sledi tipičnemu vedenju Dharme, ne da bi pokazala kakršna koli bistvena odstopanja. Škode, ki jo lahko povzroči okuženim računalniškim sistemom, pa ne gre podcenjevati.

Cip uporablja močan algoritem šifriranja za zaklepanje skoraj vseh datotek svoje žrtve. Prizadetim uporabnikom bo onemogočen dostop ali kakršna koli uporaba njihovih dokumentov, PODF-jev, arhivov, baz podatkov, slik, fotografij, zvočnih in video datotek itd. Med postopkom šifriranja bo Cip Ransomware spremenil tudi imena ciljnih datotek. Grožnja se drži običajnega vzorca poimenovanja Dharma tako, da najprej doda niz znakov, ki deluje kot ID žrtve. Nato Cip doda e-poštni naslov, ki ga nadzorujejo njegovi operaterji. Končno bo '.cip' dodan kot nova pripona datoteke.

Žrtvam bosta ostala dva odkupnina z navodili napadalcev. Ena bo postavljena na namizje ogroženega sistema kot besedilna datoteka z imenom 'info.txt'. Druga opomba bo prikazana v novem pojavnem oknu.

Zahteve Cip Ransomware

Cilj grožnje je izsiljevanje denarja v zameno za obnovo podatkov žrtve. V obeh njegovih odkupninskih opombah pa manjka veliko ključnih podrobnosti, opaženih pri drugih grožnjah z odkupno programsko opremo. V sporočilih ni naveden znesek zahtevane odkupnine, če je treba sredstva nakazati z določeno kriptovaluto ali če so napadalci pripravljeni dokazati svojo sposobnost dešifriranja podatkov z brezplačnim odklepanjem nekaj datotek.

Namesto tega je v opombi v besedilni datoteki navedeni dve elektronski pošti, ki ju lahko žrtve uporabljajo za komunikacijo – »ciphercrypt@tuta.io« in »cipherc@onionmail.org«. Navodila v pojavnem oknu niso tako v pomoč. Vsebujejo preprosto razdelek z različnimi opozorili, na primer, da ne preimenujete šifriranih datotek ali ne izvajate dešifriranih programov tretjih oseb, saj bi to lahko poškodovalo podatke in povzročilo, da datoteke ni mogoče rešiti.

Pojavno sporočilo je:

VAŠE DATOTEKE SO KRIPIRANE
1024
Ne skrbite, vse svoje datoteke lahko vrnete!
Če jih želite obnoviti, pišite na mail: ciphercrypt@tuta.io VAŠ ID -
Če v 12 urah ne odgovorite po pošti, nam pišite na drugo e-pošto: cipherc@onionmail.org
POZOR!
Priporočamo, da nas kontaktirate neposredno, da se izognete preplačilu agentov
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, saj lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (naši dodajo svojo pristojbino) ali pa postanete žrtev prevare.

Opomba v besedilni datoteki je:

vsi vaši podatki so nam zaklenjeni
Se želite vrniti?
napišite e-pošto ciphercrypt@tuta.io ali cipherc@onionmail.org