Cip Ransomware

Infosec 研究人員發現了另一種具有破壞性的勒索軟件威脅，它是 Dharma 勒索軟件家族的一部分。這種被稱為 Cip Ransowmare 的威脅與典型的 Dharma 行為密切相關，沒有表現出任何重大偏差。但是，它可能對受感染的計算機系統造成的損害不容小覷。

Cip 利用強大的加密算法來鎖定幾乎所有受害者的文件。受影響的用戶將被禁止以任何方式訪問或使用他們的文檔、PODF、檔案、數據庫、圖片、照片、音頻和視頻文件等。在加密過程中，Cip Ransomware 還將修改目標文件的名稱。威脅堅持通常的 Dharma 命名模式，首先附加一個字符串作為受害者的 ID。接下來，Cip 會附加一個由其運營商控制的電子郵件地址。最後，“.cip”將被添加為新的文件擴展名。

受害者將留下兩張贖金票據，其中包含攻擊者的指示。一個將作為名為“info.txt”的文本文件放置在受感染系統的桌面上。另一個註釋將顯示在一個新的彈出窗口中。

Cip Ransomware 的要求

威脅的目的是勒索金錢以換取受害者數據的恢復。然而，它的兩份贖金記錄都缺乏在其他勒索軟件威脅中觀察到的許多關鍵細節。如果需要使用特定的加密貨幣轉移資金，或者攻擊者是否願意通過免費解鎖幾個文件來證明他們解密數據的能力，這些消息沒有提及要求的贖金金額。

相反，文本文件中的註釋列出了受害者可以用於通信的兩封電子郵件——“ciphercrypt@tuta.io”和“cipherc@onionmail.org”。彈出窗口中的說明沒有太大幫助。它們只包含一個帶有各種警告的部分，例如不重命名加密文件或運行第三方解密器，因為這可能會損壞數據並使文件無法挽救。

彈出消息是：

您的文件已加密
1024
不用擔心，您可以歸還所有文件！
如果您想恢復它們，請寫信給：ciphercrypt@tuta.io 您的 ID -
如果您在 12 小時內沒有通過郵件回复，請通過另一封郵件給我們寫信：cipherc@onionmail.org
注意力！
我們建議您直接與我們聯繫以避免多付代理費用
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們會向我們收取費用），或者您可能會成為詐騙的受害者。

在文本文件中找到的註釋是：

您的所有數據都已鎖定我們
你想回來嗎？
寫電子郵件 ciphercrypt@tuta.io 或 cipherc@onionmail.org