A Po Ransomware kibővíti a Dharma családot

Az újonnan felfedezett Po nevű ransomware a legújabb törzs, amely csatlakozik a Dharma ransomware-en alapuló ransomware klónok már amúgy is nagy családjához.

A Po a várt módon működik egy ransomware változatnál, titkosítja a fájlokat az áldozat rendszerén. A titkosított fájlok több részből álló kiterjesztést kapnak, amely tartalmazza az áldozat azonosító karakterláncát, a ransomware üzemeltetője által használt e-mail címet és a „.po” kiterjesztést. Ezzel a korábban „document.txt” nevű fájl „document.txt.id string[recovery2022@tutanota.com].Po”-vá alakul át, miután titkosították.

Az érintett fájlok közé tartozik a legtöbb dokumentum-, archív-, média- és adatbázisfájltípus.

A titkosítás befejeztével a zsarolóprogram egy "info.txt" nevű fájlba ejti váltságdíj-levelének egyszerű szöveges változatát, és egy felugró ablakot is megjelenít, amely tartalmazza a váltságdíj követeléseit.

A váltságdíj teljes szövege a következő:

A FÁJLOID TITKOSÍTVA

1024

Ne aggódjon, az összes fájlt visszaküldheti!

Ha vissza szeretné állítani őket, írjon a következő e-mail címre: recovery2022 at tutanota dot com AZ ÖN azonosítója -

Ha 12 órán belül nem válaszol e-mailben, írjon nekünk egy másik e-mail címen: mr.helper at gmx dot com

FIGYELEM!

Javasoljuk, hogy közvetlenül forduljon hozzánk, hogy elkerülje az ügynökök túlfizetését

Ne nevezze át a titkosított fájlokat.

Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.

Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.