Kmrox Ransomware jest członkiem rodziny Phobos

ransomware

Podczas sprawdzania przesłanych nowych próbek plików nasi badacze natknęli się na inny wariant oprogramowania ransomware Phobos o nazwie Kmrox. Ten typ złośliwego oprogramowania należy do kategorii oprogramowania ransomware, które ma na celu szyfrowanie danych i żądanie zapłaty za ich odszyfrowanie.

W naszym systemie testowym Kmrox zakodował pliki i zmodyfikował ich nazwy. Oryginalne nazwy plików zostały rozszerzone o unikalną identyfikację powiązaną z ofiarą, adres e-mail cyberprzestępców i rozszerzenie „.kmrox”. Na przykład plik pierwotnie oznaczony jako „1.jpg” pojawił się jako „1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox” i tak dalej. Następnie za pośrednictwem wyskakującego okienka („info.hta”) i pliku tekstowego („info.txt”) generowane były notatki z żądaniem okupu.

Wiadomości z żądaniem okupu od Kmrox wskazują, że pliki są niedostępne ze względu na szyfrowanie. Z notatek wynika, że jedynym sposobem odzyskania plików jest zakup klucza deszyfrującego i oprogramowania od cyberprzestępców. Wymagana jest płatność w formie kryptowaluty Bitcoin, chociaż w tych wiadomościach nie jest podana dokładna kwota – sugeruje się jedynie, że na płatność może mieć wpływ szybkość nawiązania kontaktu.

Ofiara ma również możliwość bezpłatnego testu deszyfrowania (w ramach określonych parametrów). Notatki kończą się ostrzeżeniami przed modyfikowaniem zaszyfrowanych danych i zwracaniem się o pomoc do osób trzecich.

Kmrox wykorzystuje długi list z żądaniem okupu

Pełny tekst żądania okupu Kmrox brzmi następująco:

Wszystkie Twoje pliki zostały zaszyfrowane!

W tej chwili nie ma możliwości odszyfrowania danych, z wyjątkiem zażądania od nas deszyfratora i klucza, za pomocą którego odzyskasz wszystkie swoje dane.
Jeśli chcesz je przywrócić, napisz do nas e-mailem: exezez@blaze420.it
Wpisz ten identyfikator w tytule wiadomości -
Aby uzyskać szybką i wygodną informację zwrotną, napisz do operatora internetowego w komunikatorze Telegram: @exezaz
(Uważaj przy wprowadzaniu nazwy konta Telegram, musi być dokładnie taka sama jak powyżej, uważaj na fałszywe konta.)
Ponadto w przypadku niektórych usług pocztowych Twój list może nie dotrzeć do spamu lub dostać się do spamu, więc aby zwiększyć prawdopodobieństwo otrzymania szybkiej odpowiedzi, zduplikuj swoje listy również na nasze zapasowe adresy e-mail: helze@cyberfear.com i exezaz@msgden.com
Płatność za odszyfrowanie dokonywana jest w bitcoinach. Aby poznać cenę napisz do powyższych kontaktów. Im szybciej się z nami skontaktujesz, tym niższa będzie cena. Po dokonaniu płatności wyślemy Ci narzędzie, które odszyfruje wszystkie Twoje pliki.

Bezpłatne odszyfrowanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam maksymalnie 3 pliki do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (nie zarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excel itp.)

Jak zdobyć Bitcoiny
Możesz kupić Bitcoin w dowolnym dogodnym dla Ciebie miejscu, przewodnik dla początkujących znajdziesz tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Aby uzyskać gwarancję pomocy w odszyfrowaniu plików, prosimy o kontakt wyłącznie z kontaktami wymienionymi w tej notatce, ponieważ w tej chwili jest wielu oszustów, którzy,
pod pretekstem, że mogą odszyfrować Twoje dane, poproś o bezpłatne odszyfrowanie za naszym pośrednictwem i podaj to jako demonstrację, że mogą odszyfrować Twoje pliki.
Pamiętaj, że klucz do odszyfrowania plików jest indywidualny w każdym indywidualnym przypadku, więc nie będziesz w stanie samodzielnie odszyfrować plików za pomocą oprogramowania firm trzecich, to tylko zepsuje Twoje pliki.
Jeśli chcesz komunikować się przez pośrednika, to sprawdź wcześniej cenę u naszego operatora, gdyż pośrednicy często nakręcają rzeczywistą cenę. !!! Kontaktując się z osobami trzecimi,
nie gwarantujemy odszyfrowania Twoich plików!!!
Aby uniknąć problemów z odszyfrowaniem, nie zmieniaj nazw plików.

Jaka jest rodzina klonów Phobos Ransomware?

Rodzina ransomware Phobos składa się z grupy wariantów ransomware, które mają podobne cechy i metody działania. Warianty te są często określane jako „klony”, ponieważ uważa się, że pochodzą z tego samego oryginalnego kodu źródłowego lub mają wspólne ramy. Rodzina ransomware Phobos znana jest z szyfrowania plików ofiar i żądania okupu za ich odszyfrowanie.

Warianty oprogramowania ransomware Phobos zazwyczaj wykazują następujące cechy:

  • Szyfrowanie plików: Podobnie jak większość ransomware, warianty Phobos szyfrują pliki ofiar przy użyciu silnych algorytmów szyfrowania, dzięki czemu pliki stają się niedostępne bez klucza deszyfrującego.
  • Notatki okupu: Ransomware Phobos tworzy notatki z żądaniem okupu, które informują ofiary o szyfrowaniu i dostarczają instrukcji, jak zapłacić okup, aby uzyskać klucz odszyfrowywania.
  • Kontakty e-mailowe: notatki z żądaniem okupu zazwyczaj zawierają adresy e-mail, za pomocą których ofiary mogą skontaktować się z atakującymi w celu uzyskania dalszych instrukcji dotyczących płatności i odszyfrowania.
  • Unikalne rozszerzenia: warianty Phobos często dołączają unikalne rozszerzenia do zaszyfrowanych plików, dzięki czemu można je łatwo zidentyfikować. Rozszerzenia te są zazwyczaj kombinacją losowych znaków lub identyfikatorów.
  • Płatności Bitcoinami: Żądania okupu są zazwyczaj wymagane w przypadku kryptowalut, w szczególności Bitcoinów, ze względu na ich pseudonimowy charakter, który utrudnia śledzenie.
  • Zmienność kwot okupu: różne warianty oprogramowania ransomware Phobos mogą oferować różne kwoty okupu, często w zależności od takich czynników, jak profil ofiary i szybkość kontaktu z atakującymi.
  • Ukierunkowana dystrybucja: oprogramowanie ransomware Phobos jest powszechnie dystrybuowane poprzez wiadomości e-mail phishingowe, złośliwe załączniki, zestawy exploitów i inne metody wykorzystywane przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania.
  • Podobna baza kodu: warianty Phobosa mają podobne podobieństwa w kodzie i zachowaniu, co sugeruje wspólne źródło lub strukturę, które atakujący zmodyfikowali w celu utworzenia różnych wersji.

Należy zauważyć, że chociaż warianty Fobosa są podobne, mogą z czasem ewoluować dzięki nowym funkcjom, taktykom i technikom. Jak w przypadku każdego oprogramowania ransomware, najlepszą obroną przed Phobosem i jego odmianami jest połączenie skutecznych praktyk cyberbezpieczeństwa, regularnych kopii zapasowych danych, aktualizowania oprogramowania oraz ostrożnego podejścia do załączników i łączy do wiadomości e-mail.

Do Zaib
August 29, 2023
Ransomware
Polski
August 29, 2023
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.