Lizard (Phobos) Ransomware

網絡安全專家發現了另一種基於臭名昭著的Phobos Ransomware系列的惡意惡意軟件威脅。該威脅被命名為 Lizard Ransomware，它可用於鎖定存儲在被破壞設備上的數據。足夠強大的加密算法確保在沒有正確解密密鑰的情況下恢復受影響的文件實際上是不可行的。

當 Lizard Ransomware 加密文件時，它也會徹底改變該文件的原始名稱。受影響的用戶會注意到他們的文件現在有一個 ID 字符串、一個電子郵件地址和一個附加到其名稱的新文件擴展名。為每個不同的受害者生成 ID 字符串，而威脅使用的電子郵件地址是“r3wuq@tuta.io”。文件擴展名為“.LIZARD”。至於威脅的贖金記錄，Lizard Ransomware 丟棄了兩條不同的消息。一個將顯示在從“info.hta”文件創建的彈出窗口中，而另一個包含在名為“info.txt”的文本文件中。

贖金票據概述

文本文件只包含幾句話。它主要指示威脅的受害者通過發送消息“r3wuq@tuta.io”建立聯繫，或者，如果 24 小時後沒有回复，他們應該使用 Telegram 帳戶“@Online7_365”。要求贖金的主要消息是顯示為彈出窗口的消息。它表明攻擊者只會接受使用比特幣加密貨幣進行的付款。它還指出，威脅參與者願意免費解密多達 5 個文件。但是，所選文件不得包含任何重要信息，並且總大小不得超過 4MB。

在文本文件中找到的消息是：

' !!!你所有的文件都被加密了！！！
要解密它們，請發送電子郵件至此地址：r3wuq@tuta.io。
如果我們在 24 小時內沒有回复，請發送消息到電報：@Online7_365 '

Lizard Ransomware 在彈出窗口中顯示的贖金記錄是：

'你所有的文件都被加密了！
由於您的 PC 存在安全問題，您的所有文件都已加密。如果您想恢復它們，請寫信給我們的電子郵件 r3wuq@tuta.io
在您的消息標題中寫下此 ID -
如果您在 24 小時內沒有收到回复，請通過 Telegram.org 帳戶與我們聯繫：@Online7_365
你必須支付比特幣的解密費用。價格取決於您給我們寫信的速度。付款後，我們將向您發送解密所有文件的工具。
免費解密為保證
在付款之前，您最多可以向我們發送 5 個免費解密的文件。文件的總大小必須小於 4Mb（未歸檔），並且文件不應包含有價值的信息。 （數據庫、備份、大型 Excel 工作表等）
如何獲得比特幣
購買比特幣的最簡單方法是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後通過付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您還可以在此處找到其他購買比特幣的地方和初學者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們將費用添加到我們的賬戶中），或者您可能成為詐騙的受害者。 '