ไฟล์แรนซัมแวร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนผู้ใช้เกี่ยวกับภัยคุกคามแรนซัมแวร์ที่เป็นอันตรายชื่อ File Ransomware File Ransomware สามารถล็อคไฟล์ประเภทต่างๆ มากมาย ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลของตนเองได้อย่างมีประสิทธิภาพ ผู้โจมตีสามารถใช้ไฟล์ที่เข้ารหัสเพื่อรีดไถเงินจากเหยื่อได้ แม้ว่า File Ransomware จะได้รับการยืนยันว่าเป็นตัวแปรจากตระกูลมัลแวร์ Phobos แต่ความสามารถในการสร้างความเสียหายยังคงมีความสำคัญ
ผู้ที่ตกเป็นเหยื่อของ File Ransomware จะสังเกตเห็นว่าไฟล์ที่ได้รับผลกระทบทั้งหมดมีการแก้ไขชื่ออย่างมีนัยสำคัญ อันที่จริง File Ransomware เพิ่มสตริง ID ที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี และ '.FILE' ให้กับชื่อของไฟล์ที่เข้ารหัส นอกจากนี้ มัลแวร์จะปล่อยไฟล์ใหม่สองไฟล์บนอุปกรณ์ที่ถูกละเมิด ไฟล์เหล่านี้มีชื่อว่า 'info.hta' และ 'info.txt' มีหน้าที่จัดเก็บบันทึกค่าไถ่ของผู้โจมตี
ไฟล์ .hta ถูกใช้เป็นแหล่งสำหรับหน้าต่างป๊อปอัป อย่างไรก็ตาม ข้อความเรียกร้องค่าไถ่ที่แสดงอยู่นั้นสั้นมาก และส่วนใหญ่ประกอบด้วยข้อมูลว่าเหยื่อสามารถติดต่อกับอาชญากรไซเบอร์ได้อย่างไร บันทึกย่อระบุที่อยู่อีเมลสองแห่ง - 'teamchic@yandex.com' และ 'teamchica@yandex.com' รวมถึงบัญชี Jabber สองบัญชี - 'teamchic@jabb.im' และ 'teamchic@exploit.im'
ชุดคำสั่งทั้งหมดที่เหลือโดย File Ransomware สามารถพบได้ในไฟล์ข้อความของภัยคุกคาม มันแจ้งเตือนเหยื่อว่าจำนวนเงินที่เรียกร้องเป็นค่าไถ่จะขึ้นอยู่กับว่าพวกเขาเข้าถึงผู้โจมตีได้เร็วแค่ไหน นอกจากนี้ จะรับชำระเป็น Bitcoin เท่านั้น แฮกเกอร์ยังระบุด้วยว่าพวกเขาเต็มใจที่จะถอดรหัสไฟล์ได้สูงสุด 5 ไฟล์ฟรี อย่างไรก็ตาม ไฟล์ที่เลือกต้องมีขนาดรวมน้อยกว่า 4MB และไม่ควรมีข้อมูลสำคัญใดๆ
บันทึกค่าไถ่ที่ส่งเป็นไฟล์ข้อความคือ:
' ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสแล้ว!
ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสเนื่องจากปัญหาด้านความปลอดภัยกับพีซีของคุณ หากคุณต้องการกู้คืน โปรดเขียนถึงเราที่อีเมล teamchic@yandex.com
เขียน ID นี้ในชื่อข้อความของคุณ -
ในกรณีที่ไม่มีคำตอบใน 24 ชั่วโมงเขียนถึงเราที่ e-mail:teamchica@yandex.com
หากไม่มีการตอบกลับจากอีเมลของเรา คุณสามารถติดตั้งไคลเอนต์ Jabber และเขียนถึงเราในการสนับสนุน teamchic@jabb.im หรือ teamchic@exploit.im
คุณต้องจ่ายเงินสำหรับการถอดรหัสเป็น Bitcoins ราคาขึ้นอยู่กับความเร็วที่คุณเขียนถึงเรา หลังจากชำระเงิน เราจะส่งเครื่องมือที่จะถอดรหัสไฟล์ทั้งหมดของคุณถอดรหัสฟรีเป็นหลักประกัน
ก่อนจ่ายเงิน คุณสามารถส่งไฟล์ถึง 5 ไฟล์เพื่อถอดรหัสฟรี ขนาดรวมของไฟล์ต้องน้อยกว่า 4Mb (ไม่ได้เก็บถาวร) และไฟล์ไม่ควรมีข้อมูลที่มีค่า (ฐานข้อมูล สำรองข้อมูล แผ่นงาน Excel ขนาดใหญ่ ฯลฯ)วิธีรับ Bitcoins
วิธีที่ง่ายที่สุดในการซื้อบิตคอยน์คือไซต์ LocalBitcoins คุณต้องลงทะเบียน คลิก 'ซื้อบิตคอยน์' และเลือกผู้ขายตามวิธีการชำระเงินและราคา
hxxps://localbitcoins.com/buy_bitcoins
นอกจากนี้ คุณสามารถหาสถานที่อื่นในการซื้อ Bitcoins และคู่มือสำหรับผู้เริ่มต้นได้ที่นี่:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/คำแนะนำในการติดตั้งไคลเอนต์ Jabber:
ดาวน์โหลดไคลเอนต์ jabber (Pidgin) จาก hxxps://pidgin.im/download/windows/
หลังจากการติดตั้ง ไคลเอนต์ Pidgin จะแจ้งให้คุณสร้างบัญชีใหม่
คลิก "เพิ่ม"
ในฟิลด์ "โปรโตคอล" เลือก XMPP
ใน "ชื่อผู้ใช้" - สร้างชื่อใดก็ได้
ในฟิลด์ "โดเมน" - ป้อน jabber-server ใด ๆ มีจำนวนมากเช่น - Exploit.im
สร้างรหัสผ่าน
ที่ด้านล่าง ให้ทำเครื่องหมายที่ "สร้างบัญชี"
คลิกเพิ่ม
หากคุณเลือก "โดเมน" - exploit.im หน้าต่างใหม่จะปรากฏขึ้นซึ่งคุณจะต้องป้อนข้อมูลของคุณใหม่:
ผู้ใช้
รหัสผ่าน
คุณจะต้องไปตามลิงก์ไปยังแคปต์ชา (ที่นั่นคุณจะเห็นอักขระที่คุณต้องป้อนในฟิลด์ด้านล่าง)
หากคุณไม่เข้าใจคำแนะนำในการติดตั้งไคลเอนต์ Pidgin ของเรา คุณสามารถค้นหาบทแนะนำการติดตั้งมากมายบน youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installความสนใจ!
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวงข้อความที่แสดงเป็นหน้าต่างป๊อปอัปคือ:
!!!ไฟล์ทั้งหมดของคุณถูกเข้ารหัส!!!
หากต้องการถอดรหัสให้ส่งอีเมลไปยังที่อยู่นี้: teamchic@yandex.com
หากเราไม่ตอบใน 24 ชม. โปรดส่งอีเมลมาที่ teamchica@yandex.com
หากไม่มีการตอบกลับจากอีเมลของเรา คุณสามารถติดตั้งไคลเอนต์ Jabber และเขียนถึงเราในการสนับสนุน teamchic@jabb.im หรือ teamchic@exploit.im '
