TEREN Ransomware
TEREN Ransomware je nova grožnja z odkupno programsko opremo, ki je nastala iz bogate družine ransomware, ki temelji na Dharma Ransomware. Najpomembnejše razlike med družbo TEREN in drugimi člani družine zlonamerne programske opreme Dharma so razširitev, ki jo uporablja za vse šifrirane datoteke, in e-poštni naslovi za stik s hekerji.
Po uspešni infiltraciji TEREN Ransomware začne šifrirati datoteke, shranjene v računalniškem sistemu, z nevsiljivim kriptografskim algoritmom, ki uporabnikom učinkovito preprečuje dostop do njihovih zasebnih datotek. Nato bodo kiber kriminalci zahtevali plačilo odkupnine, običajno v bitcoinih, v zameno za ključ za dešifriranje ali orodje, ki bi lahko obnovilo zaklenjene podatke. Kot vse različice Dharme tudi TEREN Ransomware bistveno spremeni imena datotek vseh šifriranih datotek. Najprej doda edinstveni alfanumerični niz, ki predstavlja ID določene žrtve, sledi e-poštni naslov, ki ga nadzirajo hekerji, in na koncu » .TEREN « kot nova pripona.
TEREN Ransomware je programiran za oddajo dveh opominov o odkupnini, enega v obliki besedilne datoteke, ki jo najdete v vsaki mapi s šifriranimi podatki, in enega, ki je prikazan v pojavnem oknu. Besedilne datoteke se imenujejo "FILES ENCRYPTED.txt" in vsebujejo le nekaj vrstic besedila, predvsem dva e-poštna naslova hekerjev - "databack44@tuta.io" in "decrypt24@gytmail.com". Pojavno okno vsebuje ustrezna navodila kiber kriminalcev. Čeprav ni omenjen noben določen znesek, opomba navaja, da je cena odvisna od tega, kako hitro so prizadeti uporabniki začeli komunikacijo. Ponujajo jim tudi, da lahko brezplačno dešifrirajo eno datoteko, manjšo od 1 MB. Poleg tega naj bi se drugi e-poštni naslov - decrypt24@gytmail.com uporabljal le v primeru, da je minilo 24 ur, ne da bi žrtve prejele odgovor na primarno e-pošto.
Sporočilo iz besedilnih datotek, ki jih ustvari TEREN Ransomware, je:
'vsi vaši podatki so nam zaklenjeni
Se želite vrniti?
Napišite e-pošto databack44@tuta.io ali decrypt24@gytmail.com. '
Navodila za pojavno okno so:
'Vse vaše datoteke so šifrirane!
Vse vaše datoteke so šifrirane zaradi varnostnih težav z računalnikom. Če jih želite obnoviti, nam pišite na e-naslov databack44@tuta.io
Ta naslov vpišite v naslov sporočila -
Če v 24 urah ne dobite odgovora, nam pišite na elektronsko pošto: decrypt24@gytmail.com
Za dešifriranje morate plačati v bitcoinih. Cena je odvisna od tega, kako hitro nam pišete. Po plačilu vam bomo poslali orodje za dešifriranje, ki bo dešifriralo vse vaše datoteke.
Brezplačno dešifriranje kot garancija
Pred plačilom nam lahko pošljete do 1 datoteke za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 1 MB (nearhivirane) in datoteke ne smejo vsebovati dragocenih informacij. (baze podatkov, varnostne kopije, veliki excel listi itd.)
Kako pridobiti Bitcoin
Najlažji način za nakup bitcoinov je spletna stran LocalBitcoins. Registrirati se morate, klikniti 'Nakup bitcoinov' in prodajalca izbrati glede na način plačila in ceno.
hxxps: //localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup Bitcoinov in priročnik za začetnike:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati podatkov s programsko opremo drugih proizvajalcev, saj lahko povzroči trajno izgubo podatkov.
Dešifriranje datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (dodajo nam pristojbino) ali pa postanete žrtev prevare. '
