Lizard (Phobos) Ransomware

Siber güvenlik uzmanları, kötü şöhretli Phobos Ransomware ailesine dayanan başka bir kötü amaçlı kötü amaçlı yazılım tehdidini ortaya çıkardı. Tehdit, Lizard Ransomware olarak adlandırılır ve ihlal edilen cihazlarda depolanan verileri kilitlemek için kullanılabilir. Yeterince güçlü şifreleme algoritması, etkilenen dosyaların doğru şifre çözme anahtarı olmadan geri yüklenmesinin pratik olarak mümkün olmayacağını garanti eder.

Lizard Ransomware bir dosyayı şifrelediğinde, o dosyanın orijinal adını da büyük ölçüde değiştirir. Etkilenen kullanıcılar, dosyalarının artık bir kimlik dizesi, bir e-posta adresi ve adlarına eklenen yeni bir dosya uzantısına sahip olduğunu fark edecekler. Kimlik dizesi her farklı kurban için oluşturulurken, tehdit tarafından kullanılan e-posta adresi 'r3wuq@tuta.io'dur. Dosya uzantısı '.LIZARD'dır. Tehdidin fidye notuna gelince, Lizard Ransomware iki farklı mesaj bırakır. Biri 'info.hta' dosyasından oluşturulan bir açılır pencerede görüntülenirken diğeri 'info.txt' adlı bir metin dosyasının içinde bulunur.

Fidye Notu'na Genel Bakış

Metin dosyası sadece birkaç cümle içerir. Esas olarak tehdidin mağdurlarına 'r3wuq@tuta.io'ya mesaj göndererek iletişim kurmaları veya 24 saat sonra yanıt gelmemesi durumunda '@Online7_365' adresinden bir Telegram hesabı kullanmaları talimatını verir. Ana fidye talep eden mesaj, bir açılır pencere olarak gösterilen mesajdır. Saldırganların yalnızca Bitcoin kripto para birimi kullanılarak yapılan ödemeleri kabul edeceğini ortaya koyuyor. Ayrıca, tehdit aktörlerinin 5 dosyaya kadar ücretsiz olarak şifresini çözmeye istekli olduklarını belirtiyor. Ancak seçilen dosyalar önemli bir bilgi içermemeli ve toplam boyutu 4MB'ı geçmemelidir.

Metin dosyasında bulunan mesaj şudur:

' !!!Tüm dosyalarınız şifreli!!!
Şifrelerini çözmek için şu adrese e-posta gönderin: r3wuq@tuta.io.
24 saat içinde cevap vermezsek, telgrafa mesaj gönderin: @Online7_365 '

Bir açılır pencerede Lizard Ransomware tarafından görüntülenen fidye notu:

' Tüm dosyalarınız şifrelendi!
Bilgisayarınızdaki bir güvenlik sorunu nedeniyle tüm dosyalarınız şifrelenmiştir. Onları geri yüklemek istiyorsanız, bize r3wuq@tuta.io e-posta adresine yazın.
Bu kimliği mesajınızın başlığına yazın -
24 saat içinde yanıt almazsanız, lütfen Telegram.org hesabı aracılığıyla bizimle iletişime geçin: @Online7_365
Bitcoins'de şifre çözme için ödeme yapmanız gerekir. Fiyat, bize ne kadar hızlı yazdığınıza bağlıdır. Ödeme yapıldıktan sonra size tüm dosyalarınızın şifresini çözecek aracı göndereceğiz.
Garanti olarak ücretsiz şifre çözme
Ödeme yapmadan önce bize ücretsiz şifre çözme için en fazla 5 dosya gönderebilirsiniz. Dosyaların toplam boyutu 4Mb'den (arşivlenmemiş) az olmalı ve dosyalar değerli bilgiler içermemelidir. (veritabanları, yedeklemeler, büyük excel sayfaları vb.)
Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kaydolmanız, 'Bitcoin satın al' seçeneğini tıklamanız ve ödeme yöntemine ve fiyata göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz başka yerler ve yeni başlayanlar rehberini burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresinin çözülmesi, fiyatların artmasına (ücretlerini bize eklerler) neden olabilir veya bir dolandırıcılığın kurbanı olabilirsiniz. '