Flame Ransomware udvider Chaos Clone Family
Flame ransomware er en nyopdaget stamme af filkrypterende malware, der tilhører Chaos ransomware-familien.
Flame krypterer næsten alle filer, der findes på et systems forbundne lokale drev, og dropper derefter kravet om løsesum. Krypteringsprocessen påvirker de fleste filtyper, herunder eksekverbare filer, mediefiler, dokumenter, arkiver og databaser.
Krypterede filer modtager en ny udvidelse, som ransomwaren genererer ved hjælp af fire tilfældige alfanumeriske tegn. Det betyder, at en fil, der tidligere hed "music.ogg", bliver til noget, der ligner "music.ogg.ewd8".
Ransomwaren opretter en almindelig tekstfil kaldet "read_it.txt", der indeholder løsesumsedlen. Systemtapetet udskiftes også med stor tekst, der indeholder en engelsk variant af tekstfilen.
Den almindelige tekstfil er på russisk og går som følger:
Flamme, это не вирус, это просто программа, которую вы запустили на свой же страхи риск. Давайте как договаривались, ну без фокусов и претензий. Я тебя предупреждал в дисклеймере, по поводу всех этих последствий и т.д. Не хотел бы - не запустил бы, а если не знаешь английский, мамкин ты задрот, иди учись, иди учись, и не лотел бы!
Tapetteksten lyder:
YOUR FILES HAVE BEEN ENCRYPTED*
YOUR FILES WERE ENCRYPTED BY THE FLAME UTILITY. TO DECRYPT YOUR FILES AND REMOVE THIS NOTIFICATION, CLICK ON THE "DECRYPT MY FILES" BUTTON. TECHNICAL SUPPORT - b5cce0d45fd0 at list dot ru
*Please read the disclaimer!
This program is not a virus, but just a utility that allows you to encrypt user data at will in one click.