Cip Ransomware

Infosec 研究人员发现了另一种具有破坏性的勒索软件威胁，它是 Dharma 勒索软件家族的一部分。这种被称为 Cip Ransowmare 的威胁与典型的 Dharma 行为密切相关，没有表现出任何重大偏差。但是，它可能对受感染的计算机系统造成的损害不容小觑。

Cip 利用强大的加密算法来锁定几乎所有受害者的文件。受影响的用户将被禁止以任何方式访问或使用他们的文档、PODF、档案、数据库、图片、照片、音频和视频文件等。在加密过程中，Cip Ransomware 还将修改目标文件的名称。威胁坚持通常的 Dharma 命名模式，首先附加一个字符串作为受害者的 ID。接下来，Cip 会附加一个由其运营商控制的电子邮件地址。最后，“.cip”将被添加为新的文件扩展名。

受害者将留下两张赎金票据，其中包含攻击者的指示。一个将作为名为“info.txt”的文本文件放置在受感染系统的桌面上。另一个注释将显示在一个新的弹出窗口中。

Cip Ransomware 的要求

威胁的目的是勒索金钱以换取受害者数据的恢复。然而，它的两份赎金记录都缺乏在其他勒索软件威胁中观察到的许多关键细节。如果需要使用特定的加密货币转移资金，或者攻击者是否愿意通过免费解锁几个文件来证明他们解密数据的能力，这些消息没有提及要求的赎金金额。

相反，文本文件中的注释列出了受害者可以用于通信的两封电子邮件——“ciphercrypt@tuta.io”和“cipherc@onionmail.org”。弹出窗口中的说明没有太大帮助。它们只包含一个带有各种警告的部分，例如不重命名加密文件或运行第三方解密器，因为这可能会损坏数据并使文件无法挽救。

弹出消息是：

您的文件已加密
1024
不用担心，您可以归还所有文件！
如果您想恢复它们，请写信给：ciphercrypt@tuta.io 您的 ID -
如果您在 12 小时内没有通过邮件回复，请通过另一封邮件给我们写信：cipherc@onionmail.org
注意力！
我们建议您直接与我们联系以避免多付代理费用
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们会向我们收取费用），或者您可能会成为诈骗的受害者。

在文本文件中找到的注释是：

您的所有数据都已锁定我们
你想回来吗？
写电子邮件 ciphercrypt@tuta.io 或 cipherc@onionmail.org