Ransomware

DVN ist eine Ransomware-Infektion, die eine starke Verschlüsselung ausführt, um potenziell wichtige Dateien als Geisel zu nehmen, bis ein Lösegeld gezahlt wird. Neben der Verschlüsselung weist der Virus auch die .devinn Erweiterung, um die blockierten Daten hervorzuheben; ändert die Desktop-Hintergründe; und erstelle die unlock_here.txt Textnotiz mit Anweisungen zur Wiederherstellung. Cyberkriminelle sagen, dass sie die notwendige Entschlüsselungssoftware nur bereitstellen werden, wenn die Opfer 0.0077 BTC (rund 200 US-Dollar) bezahlen. Es wird angegeben, dass die Zahlung nur in Bitcoin und an die angehängte Krypto-Adresse erfolgen kann. Im Gegensatz zu vielen anderen Ransomware-Infektionen integrieren die Entwickler hinter DVN Ransomware keine Kommunikationsmittel (z. B. E-Mail, verschiedene Messenger usw.). Daher ist es sehr unklar, wie die Opfer mit den Angreifern kommunizieren werden, um nach der Zahlung das versprochene Entschlüsselungstool zu erhalten. Es wird dringend davon abgeraten, das Lösegeld zu zahlen, da das Risiko besteht, keine Gegenleistung zu erhalten. Leider müssen wir feststellen, dass Cyberkriminelle meist die einzigen Figuren sind, die tatsächlich in der Lage sind, den Zugriff auf Daten vollständig zu entschlüsseln.

Fofd Ransomware (Version von STOP Ransomware or DjVu Ransomware) ist ein weit verbreiteter Verschlüsselungsvirus mit hohem Risiko, der erstmals vor fast 5 Jahren auftauchte. Im Laufe der Zeit erfuhr es mehrere optische und technische Änderungen. In diesem Tutorial werden wir die neuesten Versionen dieser gefährlichen Malware analysieren. Ende April 2023 begann STOP Ransomware damit, verschlüsselten Dateien die folgenden Erweiterungen hinzuzufügen: .fofd. Aus diesem Grund erhielt es den Namen „Fofd Ransomware“, obwohl es nur eine der Varianten des STOP-Kryptovirus ist. Der Virus verändert auch die „Hosts“-Datei, um Windows-Updates, Antivirenprogramme und Websites zu blockieren, die sich auf Sicherheitsnachrichten beziehen oder Sicherheitslösungen anbieten. Der Infektionsprozess sieht auch aus wie das Installieren von Windows-Updates, Malware zeigt das gefälschte Fenster, das den Update-Prozess imitiert. Ein neuer Untertyp von STOP Ransomware verwendet dieselben E-Mail-Adressen wie wenige vorherige Generationen: support@freshmail.top und datarestorehelp@airmail.cc. Fofd Ransomware erstellt _readme.txt Lösegeldnotizdatei.

WannaCry (auch bezeichnet als Wcry, Wana Decrypt0r 2.0, WanaDecryptor und WNCRY virus) ist eine Ransomware-Infektion, die persönliche Dateien mit AES-128-Algorithmen verschlüsselt und von Opfern verlangt, für die Entschlüsselung zu bezahlen. Der Virus wurde von einem Sicherheitsforscher S!Ri entdeckt und es gibt einige bekannte WannaCry-Varianten. Je nachdem, welche Variante das System angegriffen hat, werden Dateien, die von der Verschlüsselung betroffen sind, mithilfe der geändert .wcry, .wncry, oder WNCRYT (für verschlüsselte .bmp-Dateien). Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.wcry oder ähnlich, je nach Ransomware-Version. Anschließend zeigt der Virus Entschlüsselungsanweisungen in einem zwangsweise geöffneten Popup-Fenster an. Eine der Varianten ändert auch die Desktop-Hintergrundbilder. Der Wana Decrypt0r 2.0 Variante erstellt auch eine separate Lösegeldforderung namens @Please_Read_Me@.txt.

Wenn Ihre Dateien vor kurzem bekommen haben .foty Erweiterungen, bedeutet dies, dass Ihr PC mit einem Verschlüsselungsvirus namens Foty Ransomware (Teil von STOP Ransomware or Djvu Ransomware Familie, so genannt, weil die ersten Versionen des Virus dieses Typs angehängt wurden .djvu Verlängerung). Dies ist eine sehr weit verbreitete und aktiv verbreitete Malware. Ransomware verwendete ursprünglich den AES-256-Verschlüsselungsalgorithmus, und es gab keine Möglichkeit zur Entschlüsselung. Wenn der infizierte PC jedoch während des Verschlüsselungsvorgangs nicht mit dem Internet verbunden war oder die Verbindung zu einem Remote-Server von Hackern unterbrochen wurde, können Ihre Dateien mit den unten angegebenen Methoden entschlüsselt werden. STOP Ransomware hat eine Lösegeldforderung namens _readme.txt. In dieser Textdatei geben Übeltäter Kontaktinformationen und Details zur Zahlung an. Der Virus kopiert es auf dem Desktop und in den Ordnern mit verschlüsselten Dateien. Hacker bieten folgende Kontakte, E-Mails: support@freshmail.top und datarestorehelp@airmail.cc.

Foza Ransomware ist ein verheerender Verschlüsselungsvirus aus der Reihe von STOP Ransomware (Djvu Ransomware). Foza Ransomware ist eine Variante der STOP/Djvu Ransomware-Familie, die dafür bekannt ist, eine Kombination aus zwei Verschlüsselungsalgorithmen zu verwenden: RSA und AES. RSA wird verwendet, um den symmetrischen AES-Schlüssel zu verschlüsseln, der für jede Datei generiert wird. Das bedeutet, dass jede Datei ihren eigenen einzigartigen AES-Schlüssel hat, der verwendet wird, um den Inhalt der Datei zu verschlüsseln und zu entschlüsseln. Das RSA-Schlüsselpaar wird von der Ransomware auf dem Computer des Opfers generiert und der öffentliche Schlüssel an den Server des Angreifers gesendet, der dann zur Verschlüsselung des symmetrischen AES-Schlüssels verwendet wird. Es hat seinen Namen von .foza Erweiterung, die Ransomware am Ende verschlüsselter Dateien hinzufügt. Aus technischer Sicht bleibt der Virus derselbe wie frühere Versionen. Das Einzige, was sich in den letzten Jahren geändert hat, sind die Kontaktdaten der Übeltäter.

Kafan ist ein neuer Ransomware-Virus, der Windows-Benutzer infiziert, um persönliche Daten zu verschlüsseln und Geld für seine Entschlüsselung von den Opfern zu erpressen. Nach der Installation führt die Ransomware einen schnellen Scan der gespeicherten Daten durch und startet den Verschlüsselungsprozess mit starken kryptografischen Algorithmen. Darüber hinaus wird der Malware auch eine eigene zugewiesen .kafan Erweiterung, um gesperrte Dateien zu unterscheiden. Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird ändern zu 1.pdf.kafan und nicht mehr zugänglich werden. Schließlich generiert der Dateiverschlüsseler eine Lösegeldforderung namens help_you.txt mit Anweisungen zur Rückgabe der Daten. Die Lösegeldforderung verlangt von den Opfern, eine E-Mail-Nachricht an Cyberkriminelle (PYTHONHAVENONAME@163.COM) zu senden und für die Entschlüsselung zu bezahlen. Beim Senden der Nachricht werden die Opfer auch gebeten, ihre ID in den Titel/Betreff der Nachricht einzutragen. Der Preis für die Entschlüsselung soll davon abhängen, wie schnell die Opfer die Kommunikation mit den Angreifern aufbauen. Cyberkriminelle setzen solche Manipulationstechniken ein, um zusätzlichen Druck auf die Opfer auszuüben und sie möglicherweise dazu zu zwingen, der Zahlung des Lösegelds zuzustimmen.

Recov ist eine neue Ransomware-Variante der VoidCrypt-Familie. Nachdem ein System infiltriert wurde, führt es eine Datenverschlüsselung durch (um zu verhindern, dass Opfer auf Dateien zugreifen) und fordert die Opfer auf, für ein Kit mit Entschlüsselungssoftware + RSA-Schlüssel zum Entsperren der Dateien zu bezahlen. Anweisungen dazu finden Sie im Inneren des Dectryption-guide.txt Lösegeldforderung. Eine weitere Sache, die diese Ransomware macht, ist, verschlüsselten Dateien visuelle Änderungen zuzuweisen – eine Zeichenfolge, die aus der ID des Opfers, der E-Mail-Adresse des Cyberkriminellen und der .Recov Dateinamen wird eine Erweiterung hinzugefügt. Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird geändert in 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov oder ähnlich. Cyberkriminelle fordern, dass die Opfer per E-Mail Kontakt mit ihnen aufnehmen (Recoverifiles@gmail.com oder Recoverifiles@protonmail.com falls keine Antwort erfolgt). Obwohl nicht klar ist, was Erpresser brauchen, ist es wahrscheinlich, dass sie von ihren Opfern verlangen werden, eine bestimmte Gebühr für ein Entschlüsselungstool und einen RSA-Schlüssel zu zahlen, die nur den Entwicklern zur Verfügung stehen.

Kadavro Vector ist ein Ransomware-Programm, das sich an englisch-, russisch- und norwegischsprachige Benutzer richtet. Der Zweck dieses Virus besteht darin, potenziell wichtige Daten zu verschlüsseln und Geld von Opfern für seine Entschlüsselung zu erpressen. Während Dateien unzugänglich gemacht werden, hängt die Malware auch die an .vector_ Erweiterung auf Zieldateien. Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird eine Veränderung erfahren 1.pdf.vector_ und setzen Sie das ursprüngliche Symbol zurück. Sehr bald nach erfolgreicher Verschlüsselung öffnet Kadavro Vector zwangsweise sein Popup-Fenster mit Entschlüsselungsrichtlinien. Außerdem werden Desktop-Hintergrundbilder ebenfalls geändert. Die Lösegeldforderung weist die Opfer an, das Internet und ihren Computer nicht auszuschalten, da dies sonst zu Schäden an verschlüsselten Daten führen kann. Um die Daten zurückzugeben, müssen die Opfer die Kryptowährung Monero (XMR) im Wert von 250 US-Dollar kaufen und an die Krypto-Adresse der Cyberkriminellen senden. Darüber hinaus gibt es auch einen Timer, der angibt, wie viel Zeit Benutzer für die Entschlüsselung bezahlen müssen. Sollten die Opfer dies nicht innerhalb des zugewiesenen Zeitrahmens schaffen, sollen alle Dateien mit High-Edge-Algorithmen gelöscht werden, wodurch sie in Zukunft dauerhaft nicht wiederherstellbar sind. Auf diese Weise versuchen Bedrohungsakteure, zusätzlichen Druck auf die Opfer auszuüben und sie dadurch zu zwingen, die Entschlüsselungsanforderungen zu erfüllen.