Qqri 勒索软件

在分析了 Qqri Ransowmare 威胁的行为和底层代码后，infosec 研究人员确认它是属于STOP/Djvu恶意软件家族的变种。威胁可以部署在针对选定目标的攻击行动中。在受感染的设备上执行后，Qqri Ransomware 将执行加密例程，使存储在那里的大部分数据处于不可用状态。受影响的用户将无法访问他们的文档、PDF、图像、照片、档案、数据库和许多其他文件类型。

每个加密文件都将通过在其原始名称上附加“.qqri”来标记。该威胁还将在任何被破坏的系统上放置一个名为“_readme.txt”的陌生文本文件。在文件中，受害者会发现一份赎金记录，其中详细说明了攻击者的指示。根据消息，Qqri Ransomware 的运营商正试图向受害者勒索 980 美元。但是，赎金说明还指出，在前 72 小时内联系威胁参与者的用户只需支付初始金额的一半。

作为他们信息的一部分，受害者还可以发送一个不包含任何重要信息的加密文件，如果可以相信该笔记，该文件将被免费返回，作为演示。网络犯罪分子提供的通信渠道包括两个电子邮件地址——“restorealldata@firemail.cc”和“gorentos@bitmessage.ch”，以及一个位于“@datarestore”的 Telegram 帐户。

Qqri Ransomware留下的勒索信息全文为：

'注意！

不用担心，您可以归还所有文件！
您的所有文件（如照片、数据库、文档和其他重要文件）都使用最强的加密和唯一密钥进行加密。
恢复文件的唯一方法是为您购买解密工具和唯一密钥。
该软件将解密您所有的加密文件。
你有什么保证？
您可以从您的 PC 发送一个加密文件，我们免费对其进行解密。
但我们只能免费解密 1 个文件。文件不得包含有价值的信息。
您可以获取并查看视频概述解密工具：
https://we.tl/t-WbgTMF1Jmw
私钥和解密软件的价格是 980 美元。
如果您在 72 小时前与我们联系，可享受 50% 的折扣，您的价格为 490 美元。
请注意，您永远不会在不付款的情况下恢复您的数据。
如果超过 6 小时没有得到答复，请检查您的电子邮件“垃圾邮件”或“垃圾邮件”文件夹。

要获得此软件，您需要在我们的电子邮件中写下：
restorealldata@firemail.cc

保留电子邮件地址以联系我们：
gorentos@bitmessage.ch

我们的电报帐户：
@datarestore

您的个人身份证： '