BITCOINPAYMENT-Ransomware

Die BITCOINPAYMENT Ransomware, eine Variante der Phobos-Malware-Familie, zielt auf die Daten ihrer Opfer ab und macht sie durch eine starke Verschlüsselungsroutine unbrauchbar. Die Betreiber der Bedrohung werden dann versuchen, die betroffenen Nutzer oder Unternehmen um Geld zu erpressen. Es sei darauf hingewiesen, dass die BITCOINPAYMENT Ransomware zwar keine wesentlichen Verbesserungen oder Modifikationen im Vergleich zu den anderen Phobos -Varianten aufweist, ihr zerstörerisches Potenzial jedoch nicht zu unterschätzen ist.

Im Allgemeinen folgt die BITCOINPAYMENT Ransomware dem etablierten Phobos-Verhalten. Es ändert die Namen der verschlüsselten Dateien, indem es ihnen eine ID-Zeichenfolge, eine E-Mail-Adresse und eine neue Erweiterung hinzufügt. Der ID-String wird für jedes Opfer generiert, während die E-Mail-Adresse und die Erweiterung „cleverhorse@protonmail.com“ und „.BITCOINPAYMENT“ lauten. Wenn alle Zieldaten von der Bedrohung gesperrt wurden, wird die BITCOINPAYMENT Ransomware fortfahren, zwei Dateien mit den Namen „info.hta“ und „info.txt“ auf dem angegriffenen Gerät abzulegen.

Die Textdatei enthält Anweisungen, wie die betroffenen Opfer den Jabber-Account des Angreifers kontaktieren können, um weitere Details zu erhalten. Es wird auch erwähnt, dass bis zu 3 verschlüsselte Dateien mit einer Gesamtgröße von weniger als 10 MB kostenlos zur Entschlüsselung gesendet werden können. Die vollständige Lösegeldforderung wird jedoch in einem Popup-Fenster angezeigt, das aus der HTA-Datei generiert wird. Hier stellen die Cyberkriminellen klar, dass nur Zahlungen mit der Kryptowährung Bitcoin akzeptiert werden. Was die Höhe des geforderten Lösegeldes anbelangt, wird es offenbar davon abhängen, wie lange die Opfer brauchen, um Kontakt aufzunehmen.

Der vollständige Text der als Popup-Fenster angezeigten Nachricht lautet:

' Alle Ihre Dateien wurden verschlüsselt!

Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail cleverhorse@protonmail.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Wenn auf unsere E-Mail keine Antwort erfolgt, können Sie den Jabber-Client installieren und uns zur Unterstützung an cleverhorse@xmpp.jp schreiben
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, das alle Ihre Dateien entschlüsselt.

Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 1-3 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 10 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)

So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Website. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins kaufen können, und einen Leitfaden für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Installationsanweisungen für den Jabber-Client:
Laden Sie den Jabber-Client (Pidgin) von hxxps://pidgin.im/download/windows/ herunter.
Nach der Installation fordert Sie der Pidgin-Client auf, ein neues Konto zu erstellen.
Klicken Sie auf "Hinzufügen"
Wählen Sie im Feld „Protokoll“ XMPP aus
Unter "Benutzername" - lassen Sie sich einen beliebigen Namen einfallen
Geben Sie im Feld "Domäne" einen beliebigen Jabber-Server ein, es gibt viele davon, zum Beispiel - Exploit.im
Erstellen sie ein Passwort
Setzen Sie unten ein Häkchen bei "Konto erstellen".
Klicken Sie auf Hinzufügen
Wenn Sie "Domain" - Exploit.im ausgewählt haben, sollte ein neues Fenster erscheinen, in dem Sie Ihre Daten erneut eingeben müssen:
Benutzer
Passwort
Sie müssen dem Link zum Captcha folgen (dort sehen Sie die Zeichen, die Sie in das Feld unten eingeben müssen)
Wenn Sie unsere Installationsanweisungen für den Pidgin-Client nicht verstehen, finden Sie viele Installations-Tutorials auf YouTube – hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.

Die Textdatei enthält die folgenden Anweisungen:

Möchten Sie Ihre Dateien zurückgeben? Schreiben Sie an unser xmpp-Konto - cleverhorse@xmpp.jp
Der einfachste Weg - registrieren Sie sich hier hxxps://www.xmpp.jp/signup
Nach dem Herunterladen des Pidgin-Clients hxxps://pidgin.im/
Drücken Sie Konto hinzufügen, wählen Sie das Protokoll xmpp und geben Sie den Benutzernamen aus xmpp.jp ein, wo Sie sich anmelden
Domäne - xmpp.jp
Geben Sie Ihr Passwort ein und drücken Sie Hinzufügen
Wenn Sie sich anmelden, drücken Sie Buddies --> Add Buddy --> und geben Sie in Buddys Benutzernamen cleverhorse xmpp.jp ein
Nachdem Sie das hinzugefügte Konto cleverhorse@xmpp.jp sehen, klicken Sie zweimal darauf und schreiben Sie Ihre Nachricht
Sie können uns 1-3 Testdateien zusenden. Die Gesamtgröße der Dateien muss weniger als 10 MB betragen (nicht archiviert).
Wir werden sie entschlüsseln und Ihnen senden, dass wir echt sind
Wenn Sie ein Problem mit xmpp haben, können Sie an unsere E-Mail-Adresse cleverhorse@protonmail.com schreiben .'