Threat Database Ransomware BITCOINPAYMENT Програми-вимагачі

BITCOINPAYMENT Програми-вимагачі

Варіант сімейства зловмисних програм Phobos, програма-вимагач BITCOINPAYMENT націлюється на дані своїх жертв і робить їх непридатними для використання за допомогою надійної програми шифрування. Потім оператори загрози намагатимуться вимагати гроші від постраждалих користувачів або компаній. Слід зазначити, що незважаючи на те, що програма-вимагач BITCOINPAYMENT не демонструє значних покращень чи модифікацій порівняно з іншими варіантами Phobos , її руйнівний потенціал не можна недооцінювати.

Загалом програма-вимагач BITCOINPAYMENT дотримується встановленої поведінки Phobos. Він змінює назви зашифрованих файлів, додаючи до них рядок ідентифікатора, адресу електронної пошти та нове розширення. Ідентифікаційний рядок генерується для кожної жертви, тоді як адреса електронної пошти та розширення — «cleverhorse@protonmail.com» і «.BITCOINPAYMENT». Коли всі цільові дані буде заблоковано загрозою, програмне забезпечення-вимагач BITCOINPAYMENT продовжить скинути на зламаний пристрій два файли з назвами «info.hta» та «info.txt».

Текстовий файл містить інструкції щодо того, як постраждалі жертви можуть зв’язатися з обліковим записом зловмисника Jabber, щоб отримати додаткові відомості. У ньому також згадується, що до 3 зашифрованих файлів загальним розміром менше 10 МБ можна безкоштовно надіслати для розшифровки. Проте повна нотатка про викуп відображається у спливаючому вікні, створеному з файлу hta. Тут кіберзлочинці пояснюють, що прийматимуться лише платежі, здійснені за допомогою криптовалюти Bitcoin. Що стосується розміру вимаганого викупу, то, судячи з усього, він буде залежати від часу, який потрібен жертвам для встановлення контакту.

Повний текст повідомлення, яке відображається у спливаючому вікні:

Усі ваші файли зашифровано!

Усі ваші файли було зашифровано через проблему з безпекою вашого ПК. Якщо ви хочете їх відновити, напишіть нам на електронну адресу cleverhorse@protonmail.com
Напишіть цей ідентифікатор у заголовку свого повідомлення -
Якщо з нашої пошти немає відповіді, ви можете встановити клієнт Jabber і написати нам у службу підтримки cleverhorse@xmpp.jp
Ви повинні платити за розшифровку в біткойнах. Ціна залежить від того, як швидко ви нам напишете. Після оплати ми надішлемо вам інструмент, який розшифрує всі ваші файли.

Безкоштовне розшифрування як гарантія
Перед оплатою ви можете надіслати нам до 1-3 файлів для безкоштовної розшифровки. Загальний розмір файлів має бути менше 10 Мб (без архівів), і файли не повинні містити цінної інформації. (бази даних, резервні копії, великі таблиці Excel тощо)

Як отримати біткоіни
Найпростіший спосіб купити біткоіни - сайт LocalBitcoins. Вам необхідно зареєструватися, натиснути «Купити біткоіни» та вибрати продавця за способом оплати та ціною.
hxxps://localbitcoins.com/buy_bitcoins
Також ви можете знайти інші місця для покупки біткойнів і посібник для початківців тут:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Інструкція по установці клієнта Jabber:
Завантажте клієнт jabber (Pidgin) із hxxps://pidgin.im/download/windows/
Після встановлення клієнт Pidgin запропонує вам створити новий обліковий запис.
Натисніть «Додати»
У полі «Протокол» виберіть XMPP
В «Ім'я користувача» - придумайте будь-яке ім'я
В поле "домен" - введіть будь-який jabber-сервер, їх дуже багато, наприклад - exploit.im
Створіть пароль
Внизу поставте галочку «Створити обліковий запис»
Натисніть додати
Якщо ви вибрали «домен» - exploit.im, то повинно з'явитися нове вікно, в якому потрібно буде повторно ввести свої дані:
Користувач
пароль
Вам потрібно буде перейти за посиланням на капчу (там ви побачите символи, які потрібно ввести в поле нижче)
Якщо ви не розумієте наших інструкцій зі встановлення клієнта Pidgin, ви можете знайти багато посібників зі встановлення на youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

Увага!
Не перейменовуйте зашифровані файли.
Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до остаточної втрати даних.
Розшифровка ваших файлів за допомогою третіх осіб може призвести до підвищення ціни (вони додають свою комісію до нашої), або ви можете стати жертвою шахраїв.

Текстовий файл містить такі інструкції:

Бажаєте повернути свої файли? Напишіть на наш обліковий запис xmpp - cleverhorse@xmpp.jp
Найпростіший спосіб - зареєструватися тут hxxps://www.xmpp.jp/signup
Після завантаження клієнта pidgin hxxps://pidgin.im/
Натисніть Додати обліковий запис, виберіть протокол xmpp і введіть ім’я користувача з xmpp.jp, де ви реєструєтесь
Домен - xmpp.jp
Введіть пароль і натисніть додати
Коли ви входите в систему, натисніть Buddies --> Add Buddy-->і в полі Buddys username введіть cleverhorse xmpp.jp
Коли ви побачите доданий обліковий запис cleverhorse@xmpp.jp, двічі клацніть його та напишіть своє повідомлення
Ви можете надіслати нам 1-3 тестових файли. Загальний розмір файлів не повинен перевищувати 10 Мб (не архівні),
ми розшифруємо їх і надішлемо вам, що ми справжні
Якщо у вас виникли проблеми з xmpp, ви можете написати на нашу пошту cleverhorse@protonmail.com
.'

В тренді

Найбільше переглянуті

Завантаження...