Ransomware Lilith

Lilith to nazwa nowo odkrytego szczepu oprogramowania ransomware. Nowa wersja nie wydaje się należeć do żadnej konkretnej dużej rodziny wariantów oprogramowania ransomware.

Lilith zaszyfruje pliki w systemie, do którego jest skierowany, szyfrując ich zawartość i zmieniając ich nazwy. Pliki, których to dotyczy, obejmują typy plików multimedialnych, dokumentów, archiwów i baz danych. Po zaszyfrowaniu pliki otrzymują rozszerzenie „.lilith” dołączone do starego. Oznacza to, że po zaszyfrowaniu plik o nazwie „photo.jpg” zostanie przekształcony w „photo.jpg.lilith”.

Żądanie okupu jest upuszczane w pliku o nazwie „Restore_Your_Files.txt”, który znajduje się na pulpicie. Notatka o okupie grozi wyłudzeniem, a pliki twierdzi, że zostały eksfiltrowane przed szyfrowaniem. Podobne taktyki podwójnego wymuszenia stały się mniej więcej normą w przypadku oprogramowania ransomware w 2022 roku.

Pełny tekst notatki jest następujący:

Wszystkie Twoje ważne pliki zostały zaszyfrowane i skradzione!

Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

Masz 3 dni na skontaktowanie się z nami w celu negocjacji.

Jeśli nie skontaktujesz się w ciągu trzech dni, zaczniemy wyciekać dane.

1) Skontaktuj się z naszym toxem.

Adres pobierania Tox: hxxps://tox.chat/

Nasz identyfikator trucizny:

* Pamiętaj, że ten serwer jest dostępny tylko przez przeglądarkę Tor

Postępuj zgodnie z instrukcjami, aby otworzyć łącze:

1. Wpisz adres „hxxps://www.torproject.org” w przeglądarce internetowej. Otwiera witrynę Tor.

2. Naciśnij "Pobierz Tor", a następnie "Pobierz pakiet Tora z przeglądarką", zainstaluj i uruchom.

3. Teraz masz przeglądarkę Tor. W przeglądarce Tor otwórz:

hxxp://[ciąg adresu cebuli].cebula