Cryptonite Ransomware

Загроза Cryptonite Ransomware може бути не зовсім унікальною – дослідники Infosec підтвердили, що це варіант Chaos Ransomware , але це не робить її менш загрозливою. Після виконання на заражених комп’ютерах загроза запускає надійну процедуру шифрування, яка перетворює більшість даних, що зберігаються там, у недоступний і непридатний для використання стан. Це вплине на такі файли, як документи, PDF-файли, зображення, фотографії, архіви, бази даних тощо, і відновлення без знання правильних ключів дешифрування буде практично неможливим.

На відміну від більшості програм-вимагачів, Cryptonite не використовує послідовний рядок символів для позначення файлів, які він шифрує. Замість цього він створить інший рядок із 4 символів і додасть його до оригінальних імен файлів. Фон робочого столу зламаних пристроїв буде замінено на новий із коротким повідомленням французькою мовою. Записка про викуп, викинута загрозою, як текстовий файл під назвою «lisezmoi.txt». також буде повністю написаний французькою мовою.

Переклад повідомлення Cryptonite із вимогою викупу показує, що його оператори намагаються виманити 0,51 BTC (біткойни) у своїх жертв. Згідно з приміткою, викуп повинен дорівнювати точно 13 457,65 доларів, але це вже неточно. Через високу волатильність криптовалюти за поточним обмінним курсом викуп коштує приблизно 10 500 доларів США.

Записка про викуп попереджає жертв про загрозу, що вони мають 24 години, щоб надіслати гроші на надану адресу крипто-гаманця. Якщо їм знадобиться більше часу, вони почнуть втрачати 2 зашифровані файли кожні 24 години. Крім того, через 7 днів розмір викупу буде збільшено до $16 тис. Єдина адреса електронної пошти — decrypt5058@proton.me — єдиний наданий спосіб встановити зв’язок із кіберзлочинцями.

Повний текст ноти французькою мовою:

'Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE et vous ne serez pas capable de décryptés vos fichiers sans la clé de décryptage.

Pour obtenir la clé de décryptage de vos fichiers et supprimer le virus veuillez nas contacter sur notre adresse emails ci-dessous.

Контакт: decrypt5058@proton.me

Vous devez payer une rançon et cette rançon ne peut être payée que en bitcoin à l'adresse indiqué ci-dessous.

Montant: 13457,65$ = 0,51 btc
Адреса: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Chaque 24h deux fichiers seront sélectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ à 16000$

Chaque fichier que vous éssayerez de décrypter sans la clé endommagera le fichier et vous le perdrez à jamais.'