文件勒索软件

网络安全研究人员警告用户有关名为 File Ransomware 的有害勒索软件威胁。文件勒索软件能够锁定多种不同的文件类型，有效地阻止用户访问自己的数据。攻击者可以使用加密文件作为杠杆向受害者勒索钱财。尽管文件勒索软件已被确认是Phobos恶意软件系列的变种，但其造成破坏的能力仍然很大。

文件勒索软件的受害者会注意到所有受影响的文件的名称都有很大的修改。事实上，文件勒索软件在加密文件的名称中添加了一个 ID 字符串、一个由攻击者控制的电子邮件地址和“.FILE”。此外，恶意软件会在被破坏的设备上放置两个新文件。这些名为“info.hta”和“info.txt”的文件的任务是携带攻击者的赎金记录。

.hta 文件用作弹出窗口的源。但是，其中显示的要求赎金的消息非常短，并且主要包含有关受害者如何联系网络犯罪分子的信息。该说明提到了两个电子邮件地址——“teamchic@yandex.com”和“teamchica@yandex.com”，以及两个 Jabber 帐户——“teamchic@jabb.im”和“teamchic@exploit.im”。

文件勒索软件留下的全套指令可以在威胁的文本文件中找到。它通知受害者，要求的赎金金额将取决于他们与攻击者联系的时间。此外，仅接受比特币付款。黑客还表示，他们愿意免费解密多达 5 个文件。但是，所选文件的总大小必须小于 4MB，并且不应包含任何重要数据。

作为文本文件交付的赎金票据是：

'你所有的文件都被加密了！

由于您的 PC 存在安全问题，您的所有文件都已加密。如果您想恢复它们，请发送电子邮件至 teamchic@yandex.com
在您的消息标题中写下此 ID -
如果 24 小时内没有回复，请给我们发送电子邮件至：teamchica@yandex.com
如果我们的邮件没有回复，您可以安装 Jabber 客户端并写信给我们以支持 teamchic@jabb.im 或 teamchic@exploit.im
你必须支付比特币的解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。

免费解密为保证
在付款之前，您最多可以向我们发送 5 个免费解密的文件。文件的总大小必须小于 4Mb（未归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）

如何获得比特币
购买比特币的最简单方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Jabber 客户端安装说明：

从 hxxps://pidgin.im/download/windows/ 下载 jabber (Pidgin) 客户端
安装后，Pidgin 客户端会提示您创建一个新帐户。
点击“添加”
在“协议”字段中，选择 XMPP
在“用户名”中 - 想出任何名字
在“域”字段中 - 输入任何 jabber-server，其中有很多，例如 -exploit.im
创建密码
在底部，勾选“创建帐户”
点击添加
如果您选择“域”-exploit.im，那么应该会出现一个新窗口，您需要在其中重新输入您的数据：
用户
密码
您需要点击验证码的链接（您将在下面的字段中看到需要输入的字符）
如果您不了解我们的 Pidgin 客户端安装说明，可以在 youtube 上找到很多安装教程 - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们会向我们收取费用），或者您可能会成为诈骗的受害者。

显示为弹出窗口的消息是：

!!!你所有的文件都是加密的!!!
要解密它们，请发送电子邮件至此地址：teamchic@yandex.com。
如果我们在 24 小时内没有回复，请发送电子邮件至此地址：teamchica@yandex.com
如果我们的邮件没有回复，您可以安装 Jabber 客户端并写信给我们以支持 teamchic@jabb.im 或 teamchic@exploit.im '