Mã độc tống tiền ma thuật
Magic Ransomware được phân loại là một biến thể của họ Phobos Ransomware. Magic Ransomware không có nhiều thay đổi so với các thành viên khác trong gia đình Phobos Ransomware . Tuy nhiên, khả năng gây ra nhiều thiệt hại cho người dùng và máy tính mà nó lây nhiễm vẫn đang hoạt động và Magic Ransomware vẫn là một mối đe dọa tiềm tàng có thể ngăn người dùng sử dụng máy tính của họ một cách hiệu quả. Bằng cách sử dụng thuật toán mã hóa không thể bẻ khóa, Magic Ransomware sẽ khiến gần như tất cả các tệp được lưu trữ trên máy tính bị xâm nhập không thể truy cập và không sử dụng được. Sau đó, Magic Ransomware sẽ cố gắng tống tiền các nạn nhân của nó bằng cách hứa hẹn trao đổi khóa giải mã cần thiết để giải phóng dữ liệu bị khóa với một khoản phí chuộc.
Magic Ransomware sẽ thay đổi đáng kể tên của các tệp bị ảnh hưởng. Nó sẽ nối thêm phần mở rộng tệp mới, '.magic', vào tên gốc của mọi tệp được mã hóa. Các địa chỉ email nên được sử dụng để liên hệ với những người đứng sau Magic Ransomware là 'midnight@email.tg và dark_day@cyberfear.com. Nó cũng cung cấp tùy chọn sử dụng trò chuyện Tox. Ngay khi quy trình mã hóa sẵn sàng, Magic Ransomware sẽ gửi thông báo đòi tiền chuộc kèm theo hướng dẫn cho nạn nhân. Thông báo có hai phiên bản - một phiên bản ngắn hơn chứa trong tệp văn bản có tên 'info.txt' và một bộ hướng dẫn mở rộng hơn, info.hta, sẽ được hiển thị trong cửa sổ bật lên.
Số tiền chính xác mà tin tặc kiểm soát Magic Ransomware yêu cầu không được đề cập, nhưng nó nói rằng số tiền này sẽ phụ thuộc vào tốc độ các nạn nhân bắt đầu liên lạc. Các nạn nhân của Magic Ransomware được phép đính kèm ba tệp không quan trọng có tổng kích thước không vượt quá 4 MB vào tin nhắn của họ. Tin tặc sẽ giải mã miễn phí các tệp này, có lẽ là để thể hiện khả năng khôi phục tất cả dữ liệu bị khóa của chúng. Bạn vẫn không nên tham gia đàm phán với tội phạm mạng vì điều đó có thể khiến người dùng gặp phải các mối đe dọa bảo mật hơn nữa.
Văn bản được hiển thị trong tệp 'info.hta' do Magic Ransomware tạo ra là:
'Tất cả các tập tin của bạn đã được mã hóa!
Tất cả các tệp của bạn đã được mã hóa do sự cố bảo mật với PC của bạn. Nếu bạn muốn khôi phục chúng, hãy viết thư cho chúng tôi qua e-mail nửa đêm@email.tg
Viết ID này trong tiêu đề tin nhắn của bạn
Trong trường hợp không có câu trả lời trong 24 giờ, hãy viết thư cho chúng tôi qua e-mail này:dark_day@cyberfear.com
Hoặc viết thư cho chúng tôi tới trình nhắn tin TOX: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A
Bạn có thể tải xuống TOX messenger tại đây hxxps://tox.chat/
Bạn phải trả tiền để giải mã bằng Bitcoin. Giá phụ thuộc vào tốc độ bạn viết thư cho chúng tôi. Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã tất cả các tệp của bạn.
Giải mã miễn phí như đảm bảo
Trước khi thanh toán, bạn có thể gửi cho chúng tôi tối đa 3 tệp để được giải mã miễn phí. Tổng kích thước của tệp phải nhỏ hơn 4Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị. (cơ sở dữ liệu, bản sao lưu, trang excel lớn, v.v.)
Cách nhận Bitcoin
Cách dễ nhất để mua bitcoin là trang LocalBitcoins. Bạn phải đăng ký, nhấp vào 'Mua bitcoin' và chọn người bán theo phương thức thanh toán và giá cả.
hxxps://localbitcoins.com/buy_bitcoins
Ngoài ra, bạn có thể tìm những nơi khác để mua Bitcoin và hướng dẫn cho người mới bắt đầu tại đây:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Chú ý!
Không đổi tên các tập tin được mã hóa.
Đừng cố giải mã dữ liệu của bạn bằng phần mềm của bên thứ ba, nó có thể gây mất dữ liệu vĩnh viễn.
Việc giải mã các tệp của bạn với sự trợ giúp của bên thứ ba có thể làm tăng giá (họ thêm phí của họ vào phí của chúng tôi) hoặc bạn có thể trở thành nạn nhân của một vụ lừa đảo.Nội dung của tệp 'info.txt' là:
!!!Tất cả các tệp của bạn đều được mã hóa!!!
Để giải mã chúng, hãy gửi e-mail đến địa chỉ này: midnight@email.tg.
Nếu chúng tôi không trả lời trong 24 giờ, hãy gửi e-mail đến địa chỉ này: dark_day@cyberfear.com
Hoặc viết thư cho chúng tôi tới trình nhắn tin TOX: FF06B9D86CCB0CE9D9AB2B9D26DA1765A134BE2 EB2604157233090C1FBB4960B91D235AE736A'
