Kmrox Ransomware is een familielid van Phobos

ransomware

Tijdens het onderzoek van de inzendingen van nieuwe bestandsvoorbeelden kwamen onze onderzoekers een andere variant van de Phobos-ransomware tegen, genaamd Kmrox. Dit type malware valt onder de categorie ransomware, die is ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling ervan.

Op ons testsysteem codeerde Kmrox bestanden en wijzigde hun namen. De oorspronkelijke bestandsnamen werden uitgebreid met een unieke identificatie gekoppeld aan het slachtoffer, het e-mailadres van de cybercriminelen en een extensie ".ktrox". Een bestand dat oorspronkelijk de naam "1.jpg" had, verscheen bijvoorbeeld als "1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox", enzovoort. Hierna werden losgeldbriefjes gegenereerd via een pop-upvenster ("info.hta") en een tekstbestand ("info.txt").

De losgeldberichten van Kmrox specificeren dat de bestanden ontoegankelijk zijn vanwege versleuteling. De aantekeningen geven aan dat de enige manier om de bestanden te herstellen is door de decoderingssleutel en software van de cybercriminelen te kopen. De betaling is vereist in de vorm van Bitcoin-cryptocurrency, hoewel het exacte bedrag niet in deze berichten wordt vermeld. Er wordt alleen gesuggereerd dat de betaling kan worden beïnvloed door de snelheid waarmee contact tot stand wordt gebracht.

Het slachtoffer krijgt ook de mogelijkheid om een gratis decoderingstest uit te voeren (binnen specifieke parameters). De aantekeningen eindigen met waarschuwingen tegen het wijzigen van de gecodeerde gegevens en het zoeken naar hulp van derden.

Kmrox gebruikt een lange losgeldbrief

De volledige tekst van het losgeldbriefje van Kmrox luidt als volgt:

Al uw bestanden zijn gecodeerd!

Op dit moment is er geen manier om de gegevens te ontsleutelen, behalve door bij ons een decryptor en een sleutel aan te vragen waarmee u al uw gegevens kunt herstellen.
Als u ze wilt herstellen, kunt u ons per e-mail schrijven: exezez@blaze420.it
Schrijf deze ID in de titel van uw bericht -
Voor snelle en gemakkelijke feedback kunt u schrijven naar de online operator in de Telegram-messenger: @exezaz
(Wees voorzichtig bij het invoeren van de Telegram-accountnaam, deze moet precies hetzelfde zijn als hierboven, pas op voor valse accounts.)
Bovendien is het mogelijk dat uw brief van sommige e-maildiensten niet in de spam terechtkomt of in de spam terechtkomt. Om de kans op een snelle reactie te vergroten, kunt u uw brieven ook dupliceren naar onze reserve-e-mailadressen: helze@cyberfear.com en exezaz@msgden.com
Betaling voor decodering gebeurt in bitcoins. Om de prijs te weten te komen, kunt u schrijven naar de bovenstaande contactpersonen. Hoe eerder u contact met ons opneemt, hoe lager de prijs zal zijn. Na betaling sturen wij u een tool waarmee u al uw bestanden kunt ontsleutelen.

Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 3 bestanden gratis laten decoderen. De totale grootte van de bestanden moet kleiner zijn dan 4 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, enz.)

Hoe Bitcoins te verkrijgen
U kunt Bitcoin kopen waar u maar wilt, een beginnershandleiding vindt u hier:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Om gegarandeerde hulp te krijgen bij het decoderen van uw bestanden, kunt u alleen contact opnemen met de contactpersonen die in deze notitie worden vermeld, omdat er momenteel veel oplichters zijn die,
onder het voorwendsel dat zij uw gegevens kunnen ontsleutelen, kunt u via ons een gratis ontsleuteling aanvragen en dit doorgeven als een demonstratie dat zij uw bestanden kunnen ontsleutelen.
Houd er rekening mee dat de sleutel voor het decoderen van bestanden in elk afzonderlijk geval individueel is. U kunt uw bestanden dus niet zelf decoderen met behulp van software van derden. Dit zal uw bestanden alleen maar bederven.
Wilt u communiceren via een tussenpersoon, controleer dan vooraf de prijs bij onze operator, aangezien tussenpersonen vaak de echte prijs bepalen. !!! Wanneer u contact opneemt met derden,
wij garanderen de decodering van uw bestanden niet!!!
Om problemen met decodering te voorkomen, mag u uw bestanden ook niet hernoemen.

Wat is de Phobos Ransomware-klonenfamilie?

De Phobos-ransomwarefamilie bestaat uit een groep ransomwarevarianten die vergelijkbare kenmerken en werkwijzen delen. Deze varianten worden vaak "klonen" genoemd omdat wordt aangenomen dat ze zijn afgeleid van dezelfde originele broncode of een gemeenschappelijk raamwerk delen. De Phobos-ransomwarefamilie staat bekend om het versleutelen van de bestanden van slachtoffers en het eisen van losgeld voor de ontsleuteling ervan.

De varianten van de Phobos-ransomware vertonen doorgaans de volgende kenmerken:

  • Bestandsversleuteling: Zoals de meeste ransomware versleutelen Phobos-varianten de bestanden van slachtoffers met behulp van sterke versleutelingsalgoritmen, waardoor de bestanden ontoegankelijk worden zonder een decoderingssleutel.
  • Losgeldbriefjes: De Phobos-ransomware maakt losgeldbriefjes aan die de slachtoffers informeren over de versleuteling en instructies geven over hoe ze het losgeld moeten betalen om de decoderingssleutel te verkrijgen.
  • E-mailcontacten: De losgeldbriefjes bevatten meestal e-mailadressen die slachtoffers kunnen gebruiken om contact op te nemen met de aanvallers voor verdere instructies over betaling en decodering.
  • Unieke extensies: Phobos-varianten voegen vaak unieke extensies toe aan gecodeerde bestanden, waardoor ze gemakkelijk herkenbaar zijn. Deze extensies zijn meestal een combinatie van willekeurige tekens of ID's.
  • Bitcoin-betalingen: De losgeldeisen worden doorgaans gevraagd in cryptocurrency, met name Bitcoin, vanwege het pseudonieme karakter ervan waardoor het moeilijker te traceren is.
  • Variabiliteit in losgeldbedragen: Verschillende varianten van de Phobos-ransomware kunnen verschillende losgeldbedragen hebben, vaak afhankelijk van factoren zoals het profiel van het slachtoffer en hoe snel zij contact maken met de aanvallers.
  • Gerichte distributie: Phobos-ransomware wordt vaak verspreid via phishing-e-mails, kwaadaardige bijlagen, exploitkits en andere methoden die door cybercriminelen worden gebruikt om malware te verspreiden.
  • Vergelijkbare codebasis: Phobos-varianten delen overeenkomsten in code en gedrag, wat duidt op een gemeenschappelijke bron of raamwerk dat aanvallers hebben aangepast om verschillende versies te maken.

Het is belangrijk op te merken dat hoewel Phobos-varianten overeenkomsten delen, ze in de loop van de tijd ook kunnen evolueren met nieuwe functies, tactieken en technieken. Zoals bij elke ransomware is de beste verdediging tegen Phobos en zijn varianten een combinatie van krachtige cyberbeveiligingspraktijken, regelmatige gegevensback-ups, het up-to-date houden van software en het handhaven van een voorzichtige benadering van e-mailbijlagen en links.

Tegen Zaib
August 29, 2023
Ransomware
Nederlands
August 29, 2023
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.