Lizard (Phobos) Ransomware

Các chuyên gia an ninh mạng đã phát hiện ra một mối đe dọa phần mềm độc hại nguy hiểm khác dựa trên họ Phobos Ransomware khét tiếng. Mối đe dọa được đặt tên là Lizard Ransomware và nó có thể được sử dụng để khóa dữ liệu được lưu trữ trên các thiết bị bị xâm phạm. Thuật toán mã hóa đủ mạnh đảm bảo rằng việc khôi phục các tệp bị ảnh hưởng mà không có khóa giải mã chính xác sẽ không khả thi trên thực tế.

Khi Lizard Ransomware mã hóa một tệp, nó cũng thay đổi đáng kể tên ban đầu của tệp đó. Người dùng bị ảnh hưởng sẽ nhận thấy rằng tệp của họ hiện có chuỗi ID, địa chỉ email và phần mở rộng tệp mới được thêm vào tên của họ. Chuỗi ID được tạo cho từng nạn nhân khác nhau, trong khi địa chỉ email mà mối đe dọa sử dụng là 'r3wuq@tuta.io.' Phần mở rộng của tệp là '.LIZARD.' Đối với thông báo đòi tiền chuộc về mối đe dọa, Lizard Ransomware đưa ra hai thông báo khác nhau. Một cái sẽ được hiển thị trong cửa sổ bật lên được tạo từ tệp 'info.hta', trong khi cái kia được chứa bên trong một tệp văn bản có tên 'info.txt.'

Tổng quan về Ransom Note

Tệp văn bản chỉ chứa một vài câu. Nó chủ yếu hướng dẫn các nạn nhân của mối đe dọa thiết lập liên lạc bằng cách nhắn tin đến 'r3wuq@tuta.io' hoặc, trong trường hợp không có câu trả lời sau 24 giờ, họ nên sử dụng tài khoản Telegram tại '@ Online7_365.' Thông báo đòi tiền chuộc chính là thông báo được hiển thị dưới dạng cửa sổ bật lên. Nó tiết lộ rằng những kẻ tấn công sẽ chỉ chấp nhận các khoản thanh toán được thực hiện bằng tiền điện tử Bitcoin. Nó cũng nói rằng các tác nhân đe dọa sẵn sàng giải mã tối đa 5 tệp miễn phí. Tuy nhiên, các tệp đã chọn không được chứa bất kỳ thông tin quan trọng nào và tổng dung lượng không được vượt quá 4MB.

Thông báo được tìm thấy trong tệp văn bản là:

' !!! Tất cả các tệp của bạn đều được mã hóa !!!
Để giải mã chúng, hãy gửi e-mail đến địa chỉ này: r3wuq@tuta.io.
Nếu chúng tôi không trả lời trong 24 giờ., Hãy gửi tin nhắn tới telegram: @ Online7_365 '

Lưu ý đòi tiền chuộc được hiển thị bởi Lizard Ransomware trong cửa sổ bật lên là:

' Tất cả các tệp của bạn đã được mã hóa!
Tất cả các tệp của bạn đã được mã hóa do sự cố bảo mật với PC của bạn. Nếu bạn muốn khôi phục chúng, hãy viết thư cho chúng tôi tới e-mail r3wuq@tuta.io
Viết ID này trong tiêu đề thư của bạn -
Nếu bạn không nhận được phản hồi trong vòng 24 giờ, vui lòng liên hệ với chúng tôi bằng tài khoản Telegram.org: @ Online7_365
Bạn phải trả tiền cho việc giải mã bằng Bitcoin. Giá cả phụ thuộc vào tốc độ bạn viết thư cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ sẽ giải mã tất cả các tệp của bạn.
Giải mã miễn phí để đảm bảo
Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 5 tệp để được giải mã miễn phí. Tổng kích thước của tệp phải nhỏ hơn 4Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị. (cơ sở dữ liệu, bản sao lưu, trang tính excel lớn, v.v.)
Cách kiếm Bitcoin
Cách dễ nhất để mua bitcoin là trang LocalBitcoins. Bạn phải đăng ký, nhấp vào 'Mua bitcoin' và chọn người bán theo phương thức thanh toán và giá cả.
hxxps: //localbitcoins.com/buy_bitcoins
Ngoài ra, bạn có thể tìm thấy những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây:
hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Chú ý!
Không đổi tên các tệp được mã hóa.
Không cố gắng giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, nó có thể gây mất dữ liệu vĩnh viễn.
Việc giải mã các tệp của bạn với sự trợ giúp của các bên thứ ba có thể làm tăng giá (họ cộng phí của họ vào của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo. '