Temlo 勒索軟件
VoidCrypt 勒索軟件家族的一個新變種已經在野外釋放。該威脅被命名為 Temlo Ransomware,它可以對被破壞的計算機造成巨大損害。與該系列的所有其他變體一樣,Temlo 也旨在針對特定文件類型並使用不可破解的加密算法鎖定它們。之後,網絡犯罪分子試圖向受害者勒索金錢,以換取可能恢復鎖定信息的解密密鑰和工具。
技術細節
作為加密過程的一部分,Temlo Ransomware 還會更改受影響文件的原始名稱。該威脅遵循與VoidCrypt系列相關的命名約定。它附加了一個電子郵件地址、一個分配給受害者的 ID 號和一個新的文件擴展名。
加密文件名稱中使用的電子郵件地址是"temloown@gmail.com"。新的文件擴展名是".temlo"。威脅的受害者會收到一封勒索信,其中包含黑客的指示。該消息以名為"Decrypt-info.txt"的文本文件的形式傳送到受感染設備上。
贖金票據概述
根據該說明,Temlo Ransomware 的受害者採取的第一個行動是找到在他們的計算機上創建的特定文件。顯然,網絡犯罪分子需要這個文件才有機會恢復用戶的數據。該文件名為"prvkey*.txt.key",應該位於 C:\ProgramData.\ 下。然而,受害者被告知要檢查他們所有的驅動器。
該文件必鬚髮送到提供的電子郵件地址之一 - "temloown@gmail.com"和"temloown@tuta.io"。除此之外,受害者還可以發送幾個據稱可以免費解鎖的小型加密文件。筆記中提到的最後一個重要細節是贖金必須使用比特幣加密貨幣支付。
贖金票據的全文是:
'你所有的文件都已加密
您必須付費才能取回文件
轉到 C:\ProgramData\ 或在您的其他驅動器中向我們發送 prvkey*.txt.key 文件,* 可能是一個數字(例如:prvkey3.txt.key)
您可以發送一些小於 1mb 的文件進行解密測試以信任我們但測試文件不應包含有價值的數據
付款應使用比特幣
更改 Windows 而不保存 prvkey.txt.key 文件將導致永久數據丟失我們的電子郵件:temloown@gmail.com
在沒有回答的情況下:temloown@tuta.io 。'