BITCOINPAYMENT ランサムウェア

Phobos マルウェア ファミリの亜種である BITCOINPAYMENT ランサムウェアは、被害者のデータを標的とし、強力な暗号化ルーチンを介してデータを使用不能にします。次に、脅威のオペレーターは、影響を受けるユーザーまたは企業に金銭をゆすり取ろうとします。 BITCOINPAYMENT ランサムウェアは、他のPhobos亜種と比較して大幅な改善や変更を示していませんが、その破壊的な可能性を過小評価してはならないことに注意してください。

一般に、BITCOINPAYMENT ランサムウェアは、確立されたフォボスの動作に従います。 ID 文字列、電子メール アドレス、および新しい拡張子を追加して、暗号化されたファイルの名前を変更します。 ID 文字列は被害者ごとに生成されますが、電子メール アドレスと拡張子は「cleverhorse@protonmail.com」と「.BITCOINPAYMENT」です。対象となるすべてのデータが脅威によってロックされると、BITCOINPAYMENT ランサムウェアは侵害されたデバイスに「info.hta」と「info.txt」という名前の 2 つのファイルをドロップし始めます。

テキスト ファイルには、影響を受ける被害者が攻撃者の Jabber アカウントに連絡して詳細を入手する方法が記載されています。また、合計サイズが 10MB 未満の最大 3 つの暗号化ファイルを送信して、無料で復号化できることにも言及しています。ただし、完全な身代金メモは、hta ファイルから生成されたポップアップ ウィンドウに表示されます。ここで、サイバー犯罪者は、Bitcoin 暗号通貨を使用して行われた支払いのみが受け入れられることを明確にしています。要求される身代金の額については、被害者が接触を確立するのにかかる時間に基づいているようです。

ポップアップ ウィンドウとして表示されるメッセージの全文は次のとおりです。

'すべてのファイルが暗号化されました!

PC のセキュリティ上の問題により、すべてのファイルが暗号化されました。それらを復元したい場合は、電子メールcleverhorse@protonmail.comまでご連絡ください。
この ID をメッセージのタイトルに書いてください -
私たちのメールから応答がない場合は、Jabber クライアントをインストールして、cleverhorse@xmpp.jp までご連絡ください。
ビットコインで復号化するために支払う必要があります。価格は、あなたが私たちに書く速さによって異なります.お支払い後、すべてのファイルを復号化するツールをお送りします。

保証として無料の復号化
支払う前に、無料で復号化するために最大 1 ～ 3 個のファイルを送信できます。ファイルの合計サイズは 10Mb 未満 (アーカイブされていないもの) である必要があり、ファイルには重要な情報が含まれていてはなりません。 (データベース、バックアップ、大きな Excel シートなど)

ビットコインの入手方法
ビットコインを購入する最も簡単な方法は LocalBitcoins サイトです。登録し、[ビットコインを購入] をクリックして、支払い方法と価格で販売者を選択する必要があります。
hxxps://localbitcoins.com/buy_bitcoins
また、Bitcoins を購入する他の場所と初心者ガイドはこちらで見つけることができます。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Jabber クライアントのインストール手順:
hxxps://pidgin.im/download/windows/ から jabber (Pidgin) クライアントをダウンロードします。
インストール後、Pidgin クライアントから新しいアカウントを作成するように求められます。
「追加」をクリック
「プロトコル」フィールドで、XMPP を選択します。
「ユーザー名」に - 任意の名前を思い付く
「ドメイン」フィールドに、任意の jabber-server を入力します。たとえば、exploit.im など、多数あります。
パスワードを作成
下部にある「アカウントを作成する」にチェックを入れます
追加をクリック
「ドメイン」を選択した場合は、exploit.im を選択すると、データを再入力する必要がある新しいウィンドウが表示されます。
ユーザー
パスワード
キャプチャへのリンクをたどる必要があります (下のフィールドに入力する必要がある文字が表示されます)。
Pidgin クライアントのインストール手順がわからない場合は、YouTube で多くのインストール チュートリアルを見つけることができます - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install

注意！
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、価格が上昇する可能性があり (サードパーティの料金が追加されます)、詐欺の被害者になる可能性があります。

テキスト ファイルには、次の指示が含まれています。

ファイルを返却したい場合は、xmpp アカウントにメールしてください - Cleverhorse@xmpp.jp
最も簡単な方法 - 登録はこちら hxxps://www.xmpp.jp/signup
pidgin クライアントのダウンロード後 hxxps://pidgin.im/
[アカウントの追加] を押し、プロトコル xmpp を選択し、xmpp.jp からユーザー名を入力します。
ドメイン - xmpp.jp
パスワードを入力して追加を押します
ログインしたら、[Buddies] --> [Add Buddy] --> [Buddys] のユーザー名に「cleverhorse xmpp.jp」を入力します。
追加されたアカウントcleverhorse@xmpp.jpが表示されたら、それを2回クリックしてメッセージを書きます
1 ～ 3 個のテスト ファイルをお送りください。ファイルの合計サイズは 10Mb 未満 (アーカイブされていないもの) である必要があります。
私たちはそれらを解読し、私たちが本物であることをあなたに送ります
xmpp に問題がある場合は、cleverhorse@protonmail.com にメールをお送りください。