文件勒索軟件

網絡安全研究人員警告用戶有關名為 File Ransomware 的有害勒索軟件威脅。文件勒索軟件能夠鎖定多種不同的文件類型，有效地阻止用戶訪問自己的數據。攻擊者可以使用加密文件作為槓桿向受害者勒索錢財。儘管文件勒索軟件已被確認是Phobos惡意軟件系列的變種，但其造成破壞的能力仍然很大。

文件勒索軟件的受害者會注意到所有受影響的文件的名稱都有很大的修改。事實上，文件勒索軟件在加密文件的名稱中添加了一個 ID 字符串、一個由攻擊者控制的電子郵件地址和“.FILE”。此外，惡意軟件會在被破壞的設備上放置兩個新文件。這些名為“info.hta”和“info.txt”的文件的任務是攜帶攻擊者的贖金記錄。

.hta 文件用作彈出窗口的源。但是，其中顯示的要求贖金的消息非常短，主要包含有關受害者如何联系網絡犯罪分子的信息。該說明提到了兩個電子郵件地址——“teamchic@yandex.com”和“teamchica@yandex.com”，以及兩個 Jabber 帳戶——“teamchic@jabb.im”和“teamchic@exploit.im”。

文件勒索軟件留下的全套指令可以在威脅的文本文件中找到。它通知受害者，要求的贖金金額將取決於他們與攻擊者聯繫的時間。此外，僅接受比特幣付款。黑客還表示，他們願意免費解密多達 5 個文件。但是，所選文件的總大小必須小於 4MB，並且不應包含任何重要數據。

作為文本文件交付的贖金票據是：

'你所有的文件都被加密了！

由於您的 PC 存在安全問題，您的所有文件都已加密。如果您想恢復它們，請發送電子郵件至 teamchic@yandex.com
在您的消息標題中寫下此 ID -
如果 24 小時內沒有回复，請給我們發送電子郵件至：teamchica@yandex.com
如果我們的郵件沒有回复，您可以安裝 Jabber 客戶端並寫信給我們以支持 teamchic@jabb.im 或 teamchic@exploit.im
你必須支付比特幣的解密費用。價格取決於您給我們寫信的速度。付款後，我們將向您發送解密所有文件的工具。

免費解密為保證
在付款之前，您最多可以向我們發送 5 個免費解密的文件。文件的總大小必須小於 4Mb（未歸檔），並且文件不應包含有價值的信息。 （數據庫、備份、大型 Excel 工作表等）

如何獲得比特幣
購買比特幣的最簡單方法是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後通過付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在此處找到其他購買比特幣的地方和初學者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Jabber 客戶端安裝說明：

從 hxxps://pidgin.im/download/windows/ 下載 jabber (Pidgin) 客戶端
安裝後，Pidgin 客戶端會提示您創建一個新帳戶。
點擊“添加”
在“協議”字段中，選擇 XMPP
在“用戶名”中 - 想出任何名字
在“域”字段中 - 輸入任何 jabber-server，其中有很多，例如 -exploit.im
創建密碼
在底部，勾選“創建帳戶”
點擊添加
如果您選擇了“域”-exploit.im，那麼應該會出現一個新窗口，您需要在其中重新輸入數據：
用戶
密碼
您需要點擊驗證碼的鏈接（您將在下面的字段中看到需要輸入的字符）
如果您不了解我們的 Pidgin 客戶端安裝說明，可以在 youtube 上找到很多安裝教程 - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

注意力！
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們將費用添加到我們的賬戶中），或者您可能成為詐騙的受害者。

顯示為彈出窗口的消息是：

!!!你所有的文件都是加密的!!!
要解密它們，請發送電子郵件至此地址：teamchic@yandex.com。
如果我們在 24 小時內沒有回复，請發送電子郵件至此地址：teamchica@yandex.com
如果我們的郵件沒有回复，您可以安裝 Jabber 客戶端並寫信給我們以支持 teamchic@jabb.im 或 teamchic@exploit.im '