Po Ransomware rozszerza rodzinę Dharmy

Nowo odkryte oprogramowanie ransomware o nazwie Po to najnowszy szczep, który dołączył do i tak już dużej rodziny klonów ransomware opartych na oprogramowaniu ransomware Dharma.

Po działa zgodnie z oczekiwaniami w przypadku wariantu ransomware, szyfrując pliki w systemie ofiary. Zaszyfrowane pliki otrzymują wieloczęściowe rozszerzenie zawierające ciąg ID ofiary, adres e-mail używany przez operatora ransomware oraz rozszerzenie „.po”. Spowoduje to, że plik o nazwie „document.txt” zostanie przekształcony w „document.txt.id string.[recovery2022@tutanota.com].Po” po jego zaszyfrowaniu.

Dotknięte pliki obejmują większość typów dokumentów, archiwów, multimediów i baz danych.

Po zakończeniu szyfrowania oprogramowanie ransomware umieszcza w pliku o nazwie „info.txt” wersję tekstową swojego żądania okupu, a także wyświetla wyskakujące okienko z żądaniem okupu.

Nota o okupie w całości brzmi następująco:

TWOJE PLIKI SĄ ZASZYFROWANE

1024

Nie martw się, możesz zwrócić wszystkie swoje pliki!

Jeśli chcesz je przywrócić, napisz na maila: recovery2022 at tutanota dot com TWÓJ ID -

Jeśli nie odpowiesz pocztą w ciągu 12 godzin, napisz do nas innym mailem: mr.helper na gmx dot com

UWAGA!

Zalecamy bezpośredni kontakt z nami, aby uniknąć przepłacania agentów

Nie zmieniaj nazw zaszyfrowanych plików.

Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.

Odszyfrowanie Twoich plików za pomocą osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.