Znowu Ransomware

Na wolności zauważono nowy szczep ransomware. Nowa wersja nosi nazwę ransomware Again i wydaje się być oparta na kodzie ransomware Babuk.

Ransomware Again zaszyfruje pliki w systemie, w którym zostało wdrożone. Zaszyfrowane pliki staną się nieczytelne, a ich nazwa zostanie zmieniona tak, aby zawierała rozszerzenie „.again”. Oznacza to, że plik, który wcześniej nosił nazwę „document.txt”, zmieni się w „document.txt.again” po zakończeniu szyfrowania.

Do dotkniętych typów plików należą pliki wykonywalne, dokumenty, archiwa i pliki multimedialne inne niż Windows.

Żądanie okupu jest umieszczane w zwykłym pliku tekstowym o nazwie „How To Restore Your Files.txt”. Zawartość pliku tekstowego jest bardzo krótka i wygląda następująco:

x

Aby się skontaktować, odwiedź witrynę hxxp://[ciąg adresowy cebuli].onion, Twój token czatu: [ciąg alfanumeryczny]

Trafienie na dołączony adres Tora wywołuje stronę Tora, na której znajduje się okno wiadomości i przycisk „Wyślij wiadomość”, co oczywiście ma służyć jako jedyna linia kontaktu z operatorami oprogramowania ransomware. Oczywiście negocjowanie z przestępcami nigdy nie jest świetnym pomysłem i lepiej byłoby przywrócić pliki z kopii zapasowych offline.