Cip Ransomware

Infosec araştırmacıları, Dharma fidye yazılımı ailesinin bir parçası olan başka bir yıkıcı fidye yazılımı tehdidi tespit etti. Cip Ransowmare olarak adlandırılan tehdit, herhangi bir önemli sapma göstermeden tipik Dharma davranışını yakından takip eder. Bununla birlikte, virüslü bilgisayar sistemlerine verebileceği zarar hafife alınmamalıdır.

Cip, kurbanının neredeyse tüm dosyalarını kilitlemek için güçlü bir şifreleme algoritması kullanır. Etkilenen kullanıcıların belgelerine, PODF'lerine, arşivlerine, veritabanlarına, resimlerine, fotoğraflarına, ses ve video dosyalarına vb. erişmeleri veya bunları herhangi bir şekilde kullanmaları engellenecektir. Şifreleme işlemi sırasında Cip Ransomware, hedeflenen dosyaların adlarını da değiştirecektir. Tehdit, önce kurbanın kimliği olarak işlev gören bir karakter dizisi ekleyerek olağan Dharma adlandırma düzenine yapışır. Ardından Cip, operatörleri tarafından kontrol edilen bir e-posta adresi ekler. Son olarak, '.cip' yeni bir dosya uzantısı olarak eklenecektir.

Kurbanlara, saldırganların talimatlarını içeren iki fidye notu bırakılacak. Biri, güvenliği ihlal edilmiş sistemin Masaüstüne 'info.txt' adlı bir metin dosyası olarak yerleştirilecektir. Diğer not yeni bir açılır pencerede görüntülenecektir.

Cip Ransomware'in Talepleri

Tehdidin amacı, kurbanın verilerinin geri yüklenmesi karşılığında parayı zorla almaktır. Bununla birlikte, her iki fidye notu, diğer fidye yazılımı tehditlerinde gözlemlenen önemli ayrıntıların çoğundan yoksundur. Fonların belirli bir kripto para birimi kullanılarak aktarılması gerekiyorsa veya saldırganlar birkaç dosyanın kilidini ücretsiz olarak açarak verilerin şifresini çözme yeteneklerini göstermeye istekliyse, mesajlar talep edilen fidye miktarından bahsetmiyor.

Bunun yerine, metin dosyasındaki not, kurbanların iletişim için kullanabilecekleri iki e-postayı listeler - 'ciphercrypt@tuta.io' ve 'cipherc@onionmail.org.' Açılır penceredeki talimatlar pek yardımcı olmuyor. Verilere zarar verebilecek ve dosyaları kurtarılamaz hale getirebilecekleri için, şifrelenmiş dosyaları yeniden adlandırmamak veya üçüncü taraf şifre çözücüleri çalıştırmamak gibi çeşitli uyarıları içeren bir bölüm içerirler.

Açılır mesaj şudur:

DOSYALARINIZ ŞİFRELENMİŞTİR
1024
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Onları geri yüklemek istiyorsanız, postaya yazın: ciphercrypt@tuta.io KİMLİĞİNİZ -
12 saat içinde posta yoluyla cevap vermediyseniz, bize başka bir posta ile yazın:cipherc@onionmail.org
DİKKAT!
Fazla ödeme yapan acentelerden kaçınmak için doğrudan bizimle iletişime geçmenizi öneririz.
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresinin çözülmesi, fiyatların artmasına (ücretlerini bize eklerler) neden olabilir veya bir dolandırıcılığın kurbanı olabilirsiniz.

Metin dosyasının içinde bulunan not:

tüm verileriniz bize kilitlendi
dönmek istiyor musun?
ciphercrypt@tuta.io veya cipherc@onionmail.org adresine e-posta yazın