Extortionist Ransomware
The Extortionist Ransomware är en ny, hotfull variant från VoidCrypt malware-familjen. Dess mål är att infiltrera riktade system och köra en stark krypteringsalgoritm. Som ett resultat kommer offren att förlora åtkomst till de flesta av sina privata och affärsrelaterade filer. Dokument, arkiverade, databaser, bilder, foton, PDF-filer och mer kommer att göras oanvändbarahelt och hållet. Hotaktörerna som är ansvariga för att släppa utpressningsprogrammet kommer sedan att utpressa sina offer för pengar i utbyte mot en eventuell återställning av den låsta datan.
En av hotets utmärkande kännetecken är det specifika tillägget det använder för att markera varje låst fil. Vid kryptering av en fil från de riktade filtyperna kommer skadlig programvara att lägga till en e-postadress, en unik ID-sträng och ett nytt tillägg till filens ursprungliga namn. E-postadressen är 'openthefile@mailfence.com' medan tillägget är '.Extortionist.' Lösenbeloppet för hotet släpps till de komprometterade enheterna som en textfil med namnet 'Decrypt-me.txt'.
Kravöversikt
Instruktionerna från hackarna säger att den första åtgärden för deras offer bör vara att hitta en specifik fil med namnet 'prvkey*.txt.key'. Uppenbarligen innehåller filen en avgörande dekrypteringsnyckel och utan den kommer inte ens angriparna att kunna återställa den påverkade informationen. Standardplatsen för filen är C:\ProgramData\ och *-tecknet kan istället vara ett nummer. Noteringen klargör också att lösensumman måste betalas med Bitcoin-kryptovalutan.
Om anteckningen kan litas på, tillåts offren också att skicka ett par låsta filer som ska dekrypteras gratis.De valda filerna måste dock vara mindre än 1 MB stora och bör inte innehålla någon viktig information. Två e-postmeddelanden tillhandahålls som kommunikationskanaler - 'openthefile@mailfence.com' och 'openthefile@tutanota.com.'
Den fullständiga texten i Extortionist Ransomware anteckning är:
' Alla dina filer har krypterats
Du måste betala för att få tillbaka dina filer
1-Gå till mappen C:\ProgramData\ och skicka oss prvkey*.txt.key-fil, * kan vara ett nummer (så här: prvkey3.txt.key)
2-Du kan skicka en fil på mindre än 1mb för dekrypteringstest för att lita på oss Men testfilen bör inte innehålla värdefull data
3-betalning bör ske med Bitcoin
4-Ändra Windows utan att spara filen prvkey.txt.key kommer att orsaka permanent dataförlustVår e-post: openthefile@mailfence.com
i fall av inget svar:openthefile@tutanota.com '
