Cip Ransomware

Infosec-forskare har identifierat ett annat destruktivt ransomware-hot som är en del av Dharma ransomware-familjen. Hotet, som kallas Cip Ransowmare, följer noga det typiska Dharma-beteendet utan att uppvisa några betydande avvikelser. Skadan det kan orsaka på de infekterade datorsystemen är dock inte att underskatta.

Cip använder en stark krypteringsalgoritm för att låsa nästan alla offrets filer. Berörda användare kommer att förhindras från att komma åt eller på något sätt använda deras dokument, PODF:er, arkiv, databaser, bilder, foton, ljud- och videofiler etc. Under krypteringsprocessen kommer Cip Ransomware också att ändra namnen på de riktade filerna. Hotet håller sig till det vanliga Dharma-namngivningsmönstret genom att först lägga till en teckensträng som fungerar som offrets ID. Därefter lägger Cip till en e-postadress som kontrolleras av dess operatörer. Slutligen kommer '.cip' att läggas till som ett nytt filtillägg.

Offren kommer att lämnas med två lösensedlar som innehåller instruktioner från angriparna. En kommer att placeras på det komprometterade systemets skrivbord som en textfil med namnet 'info.txt'. Den andra anteckningen kommer att visas i ett nytt popup-fönster.

Cip Ransomwares krav

Målet med hotet är att pressa ut pengar i utbyte mot att offrets data återställs. Båda lösensedlarna saknar dock många av de avgörande detaljerna som observerats i andra ransomware-hot. Meddelanden misslyckas med att nämna beloppet för den begärda lösen, om medlen behöver överföras med en specifik kryptovaluta, eller om angriparna är villiga att visa sin förmåga att dekryptera data genom att låsa upp ett par filer gratis.

Istället listar anteckningen i textfilen de två e-postmeddelanden som offren kan använda för kommunikation - 'ciphercrypt@tuta.io' och 'cipherc@onionmail.org'. Instruktionerna i popup-fönstret är inte så mycket användbara. De innehåller helt enkelt en sektion med olika varningar som att inte byta namn på de krypterade filerna eller köra tredjepartsdekryptering eftersom det kan skada data och göra filerna oräddningsbara.

Popup-meddelandet är:

DINA FILER ÄR KRYPTERADE
1024
Oroa dig inte, du kan returnera alla dina filer!
Om du vill återställa dem, skriv till mejlet: ciphercrypt@tuta.io DITT ID -
Om du inte har svarat per post inom 12 timmar, skriv till oss via ett annat mail:cipherc@onionmail.org
UPPMÄRKSAMHET!
Vi rekommenderar att du kontaktar oss direkt för att undvika överbetalande agenter
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Anteckningen som finns i textfilen är:

all din data har låsts till oss
Vill du tillbaka?
skriv e-post ciphercrypt@tuta.io eller cipherc@onionmail.org