File Ransomware går efter et generisk navn
File ransomware er det ret generiske klingende navn på en nyopdaget stamme af ransomware. På trods af sit intetsigende navn, tilhører den nye variant Phobos-familien af ransomware-kloner - en af de mest berygtede malware-grupper.
Ved udrulning vil File ransomware kryptere filer på offersystemet og efterlade systemfiler intakte, så operativsystemet kan fortsætte med at fungere og kryptere næsten alt andet. Berørte filer omfatter dokumenter, medier, arkiv- og databaseudvidelser. Når filerne er krypteret, modtager de en ny udvidelse i flere dele, der inkluderer offerets id, den kontakt-e-mail, der bruges af Files operatør og ".FILE"-strengen.
Dette vil få en fil, der tidligere hed "document.doc" til at blive til "document.doc[offer-id].[teamchic@yandex.com].FILE".
Løsebeløbssedlen lægges i to separate filer, en almindelig tekst og en i .hta-format, der hedder henholdsvis "info.txt" og "info.hta". Den fulde tekst af løsesumsedlen lyder som følger:
Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mail teamchic på yandex dot com
Skriv dette ID i titlen på din besked -
I tilfælde af intet svar inden for 24 timer, skriv til denne e-mail: teamchica på yandex dot com
Hvis der ikke er noget svar fra vores mail, kan du installere Jabber-klienten og skrive til os til støtte for teamchic på jabb dot im eller teamchic at exploit dot im
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig værktøjet, der dekrypterer alle dine filer.
Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 5 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 4 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)
Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Installationsvejledning til Jabber-klient:
Download jabber (Pidgin)-klienten fra hxxps://pidgin.im/download/windows/
Efter installationen vil Pidgin-klienten bede dig om at oprette en ny konto.
Klik på "Tilføj"
I feltet "Protokol" skal du vælge XMPP
I "Brugernavn" - kom med et hvilket som helst navn
I feltet "domæne" - indtast en hvilken som helst jabber-server, der er mange af dem, for eksempel - exploit.im
Lav et kodeord
Sæt et flueben i bunden af "Opret konto"
Klik på Tilføj
Hvis du valgte "domæne" - exploit.im, så skulle et nyt vindue dukke op, hvor du bliver nødt til at indtaste dine data igen:
Bruger
adgangskode
Du skal følge linket til captchaen (der vil du se de tegn, du skal indtaste i feltet nedenfor)
Hvis du ikke forstår vores Pidgin-klientinstallationsvejledning, kan du finde mange installationsvejledninger på youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install
Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.