Ransomware Lilith
Lilith to nazwa nowo odkrytego szczepu oprogramowania ransomware. Nowa wersja nie wydaje się należeć do żadnej konkretnej dużej rodziny wariantów oprogramowania ransomware.
Lilith zaszyfruje pliki w systemie, do którego jest skierowany, szyfrując ich zawartość i zmieniając ich nazwy. Pliki, których to dotyczy, obejmują typy plików multimedialnych, dokumentów, archiwów i baz danych. Po zaszyfrowaniu pliki otrzymują rozszerzenie „.lilith” dołączone do starego. Oznacza to, że po zaszyfrowaniu plik o nazwie „photo.jpg” zostanie przekształcony w „photo.jpg.lilith”.
Żądanie okupu jest upuszczane w pliku o nazwie „Restore_Your_Files.txt”, który znajduje się na pulpicie. Notatka o okupie grozi wyłudzeniem, a pliki twierdzi, że zostały eksfiltrowane przed szyfrowaniem. Podobne taktyki podwójnego wymuszenia stały się mniej więcej normą w przypadku oprogramowania ransomware w 2022 roku.
Pełny tekst notatki jest następujący:
Wszystkie Twoje ważne pliki zostały zaszyfrowane i skradzione!
Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.
Masz 3 dni na skontaktowanie się z nami w celu negocjacji.
Jeśli nie skontaktujesz się w ciągu trzech dni, zaczniemy wyciekać dane.
1) Skontaktuj się z naszym toxem.
Adres pobierania Tox: hxxps://tox.chat/
Nasz identyfikator trucizny:
* Pamiętaj, że ten serwer jest dostępny tylko przez przeglądarkę Tor
Postępuj zgodnie z instrukcjami, aby otworzyć łącze:
1. Wpisz adres „hxxps://www.torproject.org” w przeglądarce internetowej. Otwiera witrynę Tor.
2. Naciśnij "Pobierz Tor", a następnie "Pobierz pakiet Tora z przeglądarką", zainstaluj i uruchom.
3. Teraz masz przeglądarkę Tor. W przeglądarce Tor otwórz:
hxxp://[ciąg adresu cebuli].cebula