Lizard (Phobos) Ransomware

网络安全专家发现了另一种基于臭名昭著的Phobos Ransomware系列的恶意恶意软件威胁。该威胁被命名为 Lizard Ransomware，它可用于锁定存储在被破坏设备上的数据。足够强大的加密算法确保在没有正确解密密钥的情况下恢复受影响的文件实际上是不可行的。

当 Lizard Ransomware 加密文件时，它也会彻底改变该文件的原始名称。受影响的用户会注意到他们的文件现在有一个 ID 字符串、一个电子邮件地址和一个附加到其名称的新文件扩展名。为每个不同的受害者生成 ID 字符串，而威胁使用的电子邮件地址是“r3wuq@tuta.io”。文件扩展名为“.LIZARD”。至于威胁的赎金记录，Lizard Ransomware 丢弃了两条不同的消息。一个将显示在从“info.hta”文件创建的弹出窗口中，而另一个包含在名为“info.txt”的文本文件中。

赎金票据概述

文本文件只包含几句话。它主要指示威胁的受害者通过发送消息“r3wuq@tuta.io”建立联系，或者，如果 24 小时后没有回复，他们应该使用 Telegram 帐户“@Online7_365”。要求赎金的主要消息是显示为弹出窗口的消息。它表明攻击者只会接受使用比特币加密货币进行的付款。它还指出，威胁参与者愿意免费解密多达 5 个文件。但是，所选文件不得包含任何重要信息，并且总大小不得超过 4MB。

在文本文件中找到的消息是：

' !!!你所有的文件都被加密了！！！
要解密它们，请发送电子邮件至此地址：r3wuq@tuta.io。
如果我们在 24 小时内没有回复，请发送消息到电报：@Online7_365 '

Lizard Ransomware 在弹出窗口中显示的赎金记录是：

'你所有的文件都被加密了！
由于您的 PC 存在安全问题，您的所有文件都已加密。如果您想恢复它们，请写信给我们的电子邮件 r3wuq@tuta.io
在您的消息标题中写下此 ID -
如果您在 24 小时内没有收到回复，请通过 Telegram.org 帐户与我们联系：@Online7_365
你必须支付比特币的解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。
免费解密为保证
在付款之前，您最多可以向我们发送 5 个免费解密的文件。文件的总大小必须小于 4Mb（未归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币的最简单方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将费用添加到我们的账户中），或者您可能成为诈骗的受害者。 '