File Ransomware
Binabalaan ng mga mananaliksik ng cybersecurity ang mga user tungkol sa isang nakakasakit na banta sa ransomware na pinangalanang File Ransomware. Ang File Ransomware ay may kakayahang mag-lock ng maraming iba't ibang uri ng file, na epektibong pinipigilan ang mga user sa pag-access ng kanilang sariling data. Maaaring gamitin ng mga umaatake ang mga naka-encrypt na file bilang leverage para mangikil ng pera mula sa kanilang mga biktima. Bagama't ang File Ransomware ay nakumpirma na isang variant mula sa Phobos malware family, ang kapasidad nito na magdulot ng pinsala ay nananatiling makabuluhan.
Mapapansin ng mga biktima ng File Ransomware na ang lahat ng apektadong file ay may makabuluhang binagong mga pangalan. Sa katunayan, ang File Ransomware ay nagdaragdag ng ID string, isang email address na kinokontrol ng mga umaatake, at '.FILE' sa mga pangalan ng mga naka-encrypt na file. Bilang karagdagan, ang malware ay mag-drop ng dalawang bagong file sa nilabag na device. Pinangalanang 'info.hta' at 'info.txt,' ang mga file na ito ay may tungkuling magdala ng ransom notes ng mga umaatake.
Ang .hta file ay ginagamit bilang isang source para sa isang pop-up window. Gayunpaman, ang mensaheng humihingi ng ransom na ipinapakita dito ay napakaikli at kadalasang naglalaman ng impormasyon kung paano maaaring makipag-ugnayan ang mga biktima sa mga cybercriminal. Binanggit ng tala ang dalawang email address - 'teamchic@yandex.com' at 'teamchica@yandex.com,' pati na rin ang dalawang Jabber account - 'teamchic@jabb.im' at 'teamchic@exploit.im.'
Ang buong hanay ng mga tagubiling iniwan ng File Ransomware ay makikita sa text file ng banta. Inaabisuhan nito ang mga biktima na ang halagang hinihingi bilang ransom ay ibabatay sa kung gaano kabilis nilang maabot ang mga umaatake. Higit pa rito, ang mga pagbabayad lamang sa Bitcoin ang tatanggapin. Sinasabi rin ng mga hacker na handa silang mag-decrypt ng hanggang 5 file nang libre. Gayunpaman, ang mga napiling file ay dapat na may kabuuang sukat na mas mababa sa 4MB at hindi dapat maglaman ng anumang mahalagang data.
Ang ransom note na inihatid bilang isang text file ay:
' Ang lahat ng iyong mga file ay na-encrypt na!
Ang lahat ng iyong mga file ay na-encrypt dahil sa isang problema sa seguridad sa iyong PC. Kung gusto mong ibalik ang mga ito, sumulat sa amin sa e-mail teamchic@yandex.com
Isulat ang ID na ito sa pamagat ng iyong mensahe -
Kung sakaling walang sagot sa loob ng 24 na oras sumulat sa amin sa e-mail na ito:teamchica@yandex.com
Kung walang tugon mula sa aming mail, maaari mong i-install ang Jabber client at sumulat sa amin bilang suporta sa teamchic@jabb.im o teamchic@exploit.im
Kailangan mong magbayad para sa decryption sa Bitcoins. Ang presyo ay depende sa kung gaano ka kabilis sumulat sa amin. Pagkatapos ng pagbabayad, ipapadala namin sa iyo ang tool na magde-decrypt ng lahat ng iyong mga file.Libreng decryption bilang garantiya
Bago magbayad maaari kang magpadala sa amin ng hanggang 5 file para sa libreng pag-decryption. Ang kabuuang sukat ng mga file ay dapat na mas mababa sa 4Mb (hindi naka-archive), at ang mga file ay hindi dapat maglaman ng mahalagang impormasyon. (mga database, backup, malalaking excel sheet, atbp.)Paano makakuha ng Bitcoins
Ang pinakamadaling paraan upang bumili ng mga bitcoin ay LocalBitcoins site. Kailangan mong magparehistro, i-click ang 'Buy bitcoins', at piliin ang nagbebenta sa pamamagitan ng paraan ng pagbabayad at presyo.
hxxps://localbitcoins.com/buy_bitcoins
Maaari ka ring makahanap ng iba pang mga lugar upang bumili ng Bitcoins at gabay sa mga nagsisimula dito:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Mga tagubilin sa pag-install ng Jabber client:
I-download ang jabber (Pidgin) client mula sa hxxps://pidgin.im/download/windows/
Pagkatapos ng pag-install, ipo-prompt ka ng Pidgin client na gumawa ng bagong account.
I-click ang "Add"
Sa field na "Protocol," piliin ang XMPP
Sa "Username" - makabuo ng anumang pangalan
Sa patlang na "domain" - ipasok ang anumang jabber-server, marami sa kanila, halimbawa - exploit.im
Gumawa ng password
Sa ibaba, lagyan ng tsek ang "Gumawa ng account"
I-click ang idagdag
Kung pinili mo ang "domain" - exploit.im, dapat lumitaw ang isang bagong window kung saan kakailanganin mong muling ipasok ang iyong data:
Gumagamit
password
Kakailanganin mong sundan ang link sa captcha (doon mo makikita ang mga character na kailangan mong ipasok sa field sa ibaba)
Kung hindi mo naiintindihan ang aming mga tagubilin sa pag-install ng client ng Pidgin, makakahanap ka ng maraming tutorial sa pag-install sa youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+installPansin!
Huwag palitan ang pangalan ng mga naka-encrypt na file.
Huwag subukang i-decrypt ang iyong data gamit ang software ng third party, maaari itong magdulot ng permanenteng pagkawala ng data.
Ang pag-decryption ng iyong mga file sa tulong ng mga third party ay maaaring magdulot ng pagtaas ng presyo (idinadagdag nila ang kanilang bayad sa amin) o maaari kang maging biktima ng isang scam.Ang mensaheng ipinapakita bilang isang pop-up window ay:
!!!Lahat ng iyong mga file ay naka-encrypt!!!
Upang i-decrypt ang mga ito magpadala ng e-mail sa address na ito: teamchic@yandex.com.
Kung hindi kami sumagot sa loob ng 24h., magpadala ng e-mail sa address na ito: teamchica@yandex.com
Kung walang tugon mula sa aming mail, maaari mong i-install ang Jabber client at sumulat sa amin bilang suporta sa teamchic@jabb.im o teamchic@exploit.im '
