BITCOINPAYMENT Ransomware
BITCOINPAYMENT Ransomware ที่แตกต่างจากตระกูลมัลแวร์ Phobos กำหนดเป้าหมายข้อมูลของเหยื่อและทำให้ไม่สามารถใช้งานได้ผ่านรูทีนการเข้ารหัสที่แข็งแกร่ง ผู้ดำเนินการภัยคุกคามจะพยายามรีดไถผู้ใช้หรือบริษัทที่ได้รับผลกระทบเพื่อเงิน ควรสังเกตว่าแม้ว่า BITCOINPAYMENT Ransomware จะไม่แสดงการปรับปรุงหรือแก้ไขใด ๆ ที่สำคัญเมื่อเปรียบเทียบกับรูปแบบอื่น ๆ ของ Phobos แต่ก็ไม่ควรมองข้ามศักยภาพในการทำลายล้าง
โดยทั่วไป BITCOINPAYMENT Ransomware จะติดตามพฤติกรรมของ Phobos ที่กำหนดไว้ แก้ไขชื่อไฟล์ที่เข้ารหัสโดยเพิ่มสตริง ID ที่อยู่อีเมลและส่วนขยายใหม่ สตริง ID ถูกสร้างขึ้นสำหรับเหยื่อแต่ละราย ในขณะที่ที่อยู่อีเมลและส่วนขยายคือ 'cleverhorse@protonmail.com' และ '.BITCOINPAYMENT' เมื่อข้อมูลเป้าหมายทั้งหมดถูกล็อคโดยภัยคุกคาม BITCOINPAYMENT Ransomware จะดำเนินการดรอปไฟล์สองไฟล์บนอุปกรณ์ที่ถูกละเมิดชื่อ 'info.hta' และ 'info.txt'
ไฟล์ข้อความมีคำแนะนำเกี่ยวกับวิธีการที่เหยื่อที่ได้รับผลกระทบสามารถติดต่อบัญชี Jabber ของผู้โจมตีเพื่อรับรายละเอียดเพิ่มเติม นอกจากนี้ยังระบุด้วยว่าสามารถส่งไฟล์ที่เข้ารหัสได้สูงสุด 3 ไฟล์ที่มีขนาดรวมน้อยกว่า 10MB เพื่อถอดรหัสฟรี อย่างไรก็ตาม บันทึกค่าไถ่แบบเต็มจะแสดงในหน้าต่างป๊อปอัปที่สร้างจากไฟล์ hta ในที่นี้ อาชญากรไซเบอร์ชี้แจงว่าจะยอมรับเฉพาะการชำระเงินด้วยสกุลเงินดิจิทัล Bitcoin เท่านั้น สำหรับขนาดของค่าไถ่ที่เรียกร้องนั้น เห็นได้ชัดว่าจะขึ้นอยู่กับเวลาที่เหยื่อใช้ในการติดต่อ
ข้อความแบบเต็มของข้อความที่แสดงเป็นหน้าต่างป๊อปอัปคือ:
' ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสแล้ว!
ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสเนื่องจากปัญหาด้านความปลอดภัยกับพีซีของคุณ หากคุณต้องการกู้คืน โปรดเขียนถึงเราที่อีเมล Intelligenthorse@protonmail.com
เขียน ID นี้ในชื่อข้อความของคุณ -
หากไม่มีการตอบกลับจากอีเมลของเรา คุณสามารถติดตั้งไคลเอนต์ Jabber และเขียนถึงเราเพื่อสนับสนุนwisehorse@xmpp.jp
คุณต้องจ่ายเงินสำหรับการถอดรหัสเป็น Bitcoins ราคาขึ้นอยู่กับความเร็วที่คุณเขียนถึงเรา หลังจากชำระเงิน เราจะส่งเครื่องมือที่จะถอดรหัสไฟล์ทั้งหมดของคุณถอดรหัสฟรีเป็นหลักประกัน
ก่อนจ่ายเงิน คุณสามารถส่งไฟล์ถึง 1-3 ไฟล์เพื่อถอดรหัสฟรี ขนาดรวมของไฟล์ต้องน้อยกว่า 10Mb (ไม่ได้เก็บถาวร) และไฟล์ไม่ควรมีข้อมูลที่มีค่า (ฐานข้อมูล สำรองข้อมูล แผ่นงาน Excel ขนาดใหญ่ ฯลฯ)วิธีรับ Bitcoins
วิธีที่ง่ายที่สุดในการซื้อบิตคอยน์คือไซต์ LocalBitcoins คุณต้องลงทะเบียน คลิก 'ซื้อบิตคอยน์' และเลือกผู้ขายตามวิธีการชำระเงินและราคา
hxxps://localbitcoins.com/buy_bitcoins
นอกจากนี้ คุณสามารถหาสถานที่อื่นในการซื้อ Bitcoins และคู่มือสำหรับผู้เริ่มต้นได้ที่นี่:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/คำแนะนำในการติดตั้งไคลเอนต์ Jabber:
ดาวน์โหลดไคลเอนต์ jabber (Pidgin) จาก hxxps://pidgin.im/download/windows/
หลังจากการติดตั้ง ไคลเอนต์ Pidgin จะแจ้งให้คุณสร้างบัญชีใหม่
คลิก "เพิ่ม"
ในฟิลด์ "โปรโตคอล" เลือก XMPP
ใน "ชื่อผู้ใช้" - สร้างชื่อใดก็ได้
ในฟิลด์ "โดเมน" - ป้อน jabber-server ใด ๆ มีจำนวนมากเช่น - Exploit.im
สร้างรหัสผ่าน
ที่ด้านล่าง ให้ทำเครื่องหมายที่ "สร้างบัญชี"
คลิกเพิ่ม
หากคุณเลือก "โดเมน" - exploit.im หน้าต่างใหม่จะปรากฏขึ้นซึ่งคุณจะต้องป้อนข้อมูลของคุณใหม่:
ผู้ใช้
รหัสผ่าน
คุณจะต้องไปตามลิงก์ไปยังแคปต์ชา (ที่นั่นคุณจะเห็นอักขระที่คุณต้องป้อนในฟิลด์ด้านล่าง)
หากคุณไม่เข้าใจคำแนะนำในการติดตั้งไคลเอนต์ Pidgin ของเรา คุณสามารถค้นหาบทแนะนำการติดตั้งมากมายบน youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installความสนใจ!
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวงไฟล์ข้อความมีคำแนะนำต่อไปนี้:
ต้องการส่งคืนไฟล์ของคุณใช่หรือไม่ เขียนไปที่บัญชี xmpp ของเรา -wisehorse@xmpp.jp
วิธีที่ง่ายที่สุด - ลงทะเบียนที่นี่ hxxps://www.xmpp.jp/signup
หลังจากดาวน์โหลดไคลเอ็นต์ pidgin hxxps://pidgin.im/
กด เพิ่มบัญชี เลือกโปรโตคอล xmpp และใส่ชื่อผู้ใช้จาก xmpp.jp คุณลงทะเบียนที่ไหน
โดเมน - xmpp.jp
ใส่รหัสผ่านแล้วกดเพิ่ม
เมื่อคุณเข้าสู่ระบบ กด Buddies -> เพิ่ม Buddy-->และในชื่อผู้ใช้ Buddys ให้ใส่ smarthorse xmpp.jp
หลังจากคุณจะเห็นบัญชีที่เพิ่มเป็นwisehorse@xmpp.jp คลิกสองครั้งที่บัญชีนั้นแล้วเขียนข้อความของคุณ
คุณสามารถส่งไฟล์ทดสอบ 1-3 ไฟล์มาให้เรา ขนาดไฟล์ทั้งหมดต้องน้อยกว่า 10Mb (ไม่เก็บถาวร)
เราจะถอดรหัสและส่งให้คุณว่าเราเป็นของจริง
หากคุณมีปัญหากับ xmpp คุณสามารถเขียนถึงอีเมลของเราที่wisehorse@protonmail.com '
