Ransomware

Coty Ransomware ist Teil eines großen STOP/Djvu Ransomware-Familie. Es hat seinen Namen erhalten, weil die Originalversionen der Malware das hinzugefügt haben .stop (später .djvu)-Dateierweiterung und verschlüsselte sie mit einer Kombination aus AES- und RSA-Kryptographie, um Dateien auf dem infizierten Windows-Computer unzugänglich zu machen. Coty Ransomware nach seinem Namen fügt hinzu .coty Erweiterung. Diese Version erschien Ende April 2023. Sobald die Coty/STOP-Ransomware den Verschlüsselungsvorgang abgeschlossen hat, erstellt der Virus eine Lösegeldforderung an _readme.txt Datei. Die Nachricht der Betrüger besagt, dass die Opfer das Lösegeld innerhalb von 72 Stunden bezahlen müssen. Die Autoren des STOP-Virus verlangen in den ersten drei Tagen 490 Dollar und danach 980 Dollar. Zur Bestätigung lassen Hacker zu, dass 1-3 „nicht sehr große“ Dateien zur kostenlosen Entschlüsselung an gesendet werden support@freshmail.top or datarestorehelp@airmail.cc für einen Test.

Cooper ist ein Ransomware-Virus, der Systeme infiziert, um potenziell wichtige Dateien zu verschlüsseln, und Geld für deren Entschlüsselung verlangt. Neben der Ausführung einer sicheren Verschlüsselung weist es auch die .cooper Erweiterung für betroffene Dateien. Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird ändern zu 1.pdf.cooper und verliert sein ursprüngliches Symbol. Nach dieser Änderung können Dateien nicht mehr verwendet werden, auch wenn Sie die hinzugefügte Erweiterung entfernen. Um diese Änderungen rückgängig zu machen, werden Entschlüsselungsanweisungen innerhalb der präsentiert Cooper_Recover.txt Datei. Cyberkriminelle fordern die Opfer auf, sie per E-Mail zu kontaktieren und für eine einzigartige Entschlüsselungssoftware zu bezahlen. Bedrohungsakteure sind die einzigen Personen, die darauf Zugriff haben, und es wird gesagt, dass kein anderes Tool in der Lage ist, verschlüsselte .cooper-Dateien zu entschlüsseln. Bei der Kontaktaufnahme werden die Opfer auch gebeten, die ID in der Betreffzeile einer E-Mail-Nachricht anzugeben. Leider ist die Zahlung des Lösegelds an Cyber-Gauner möglicherweise die einzige Möglichkeit, Ihre Dateien zurückzugeben, es sei denn, Sie haben ein verfügbares Backup, das zum Abrufen von Kopien verschlüsselter Dateien verwendet werden kann. Mehrere Ransomware-Infektionen verwenden starke Verschlüsselungsalgorithmen und generieren Online-Schlüssel, um sicherzustellen, dass eine Entschlüsselung ohne die Hilfe der ursprünglichen Entwickler kaum möglich ist.

Coza ist ein neues Ransomware-Sample, das von der berüchtigten STOP/Djvu-Gruppe von Erpressern entwickelt wurde. Wie viele andere von diesen Cyberkriminellen veröffentlichte Varianten verwendet diese ein fast identisches Verschlüsselungs- und Erpressungsmuster. Sobald sich der Virus auf einem infizierten Computer festgesetzt hat, beginnt er, potenziell wichtige Daten zu scannen und zu verschlüsseln. Auf diese Weise will der Virus mehr Anreize für die Opfer schaffen, für die von den Angreifern vorgeschlagene Entschlüsselung zu bezahlen. Neben der Verschlüsselung sorgt die Malware auch dafür, dass Opfer gesperrte von nicht gesperrten Dateien unterscheiden können – durch einfaches Zuweisen der .coza Verlängerung. Zum Beispiel eine zuvor benannte Datei 1.xlsx wird ändern zu 1.xlsx.coza, 1.pdf zu 1.pdf.coza und so weiter mit anderen Zieldateitypen. Um die Verschlüsselung rückgängig zu machen, sollen die Opfer den Anweisungen im Inneren folgen _readme.txt Textnotiz.

Pwpdvl ist ein Ransomware-Virus, der entwickelt wurde, um Geld von Opfern zu erpressen, indem Daten verschlüsselt werden. Mit anderen Worten, Personen, die von dieser Malware betroffen sind, können nicht mehr auf ihre Dateien zugreifen und diese anzeigen. Wenn Pwpdvl potenziell wichtige Dateien verschlüsselt, weist es neben der ID auch die ID des Opfers zu .pwpdvl Erweiterung am Ende. Zum Beispiel eine Datei wie 1.pdf ändert sich zu so etwas wie 1.pdf.[ID-9ECFA84E].pwpdvl und ruhen Sie sein ursprüngliches Symbol aus. Um die Opfer für die Wiederherstellung bezahlen zu lassen, erstellt der Dateiverschlüsseler eine Lösegeldnotiz (RESTORE_FILES_INFO.txt), die Entschlüsselungsanweisungen enthält. Von den Opfern wird verlangt, die Betrüger zu kontaktieren (über Bitmessage oder qTOX) und für die Entschlüsselung in der Kryptowährung Monero (XMR) zu bezahlen. Vor dem Senden der Zahlung bieten Cyberkriminelle auch an, die kostenlose Entschlüsselung zu testen – Opfer können 2 verschlüsselte Dateien (unwichtig und maximal 1 MB) senden und sie kostenlos entsperren lassen. Dies ist eine Art Garantie, die Erpresser anbieten, um ihre Entschlüsselungsfähigkeiten zu beweisen und zusätzliches Vertrauen für die Zahlung des Lösegelds zu geben. Beachten Sie jedoch, dass das Vertrauen in Cyberkriminelle immer ein Risiko darstellt. Einige Benutzer lassen sich täuschen und erhalten die versprochenen Entschlüsselungswerkzeuge/Schlüssel nicht, obwohl sie die Anforderungen erfüllen. Trotzdem verfügen leider nur Ransomware-Entwickler über die notwendigen Entschlüsselungsschlüssel, um den Zugriff auf Daten sicher wiederherzustellen. Eine unabhängige Entschlüsselung mit Tools von Drittanbietern oder Windows-Schattenkopien kann möglich sein, aber in sehr seltenen Fällen, wenn Ransomware Fehler enthält oder es nicht geschafft hat, die Daten wie vorgesehen zu verschlüsseln.

VapeV7 ist ein Ransomware-Virus, der entwickelt wurde, um Daten auf erfolgreich infizierten Systemen zu verschlüsseln. Auf diese Weise stellt der Virus sicher, dass Benutzer nicht mehr auf ihre eigenen Daten zugreifen/sie anzeigen können, was es Angreifern ermöglicht, Geld für seine Entschlüsselung zu verlangen. Die verschlüsselten Dateien werden mit der neuen angezeigt .VapeV7 Erweiterung und setzen Sie ihre ursprünglichen Symbole auf leer zurück. Danach werden den Opfern Entschlüsselungsanweisungen in einem speziellen Popup-Fenster angezeigt. Um den Zugriff auf die Daten wiederherzustellen, werden die Opfer aufgefordert, 200 US-Dollar an die BTC-Brieftasche der Cyberkriminellen zu senden (über eine Adresse im Popup-Fenster) und die Erpresser mit der Transaktions-ID per E-Mail zu benachrichtigen. Beachten Sie, dass sich BTC-Wallets und Kontakt-E-Mails jede Sekunde ändern, was zu einer großen Unsicherheit darüber führt, welche Wallet-Adresse und E-Mail verwendet werden sollen. Auch angezeigte BTC-Wallets sind eigentlich falsch und somit überhaupt nicht vorhanden. Solch ein seltsames Phänomen könnte ein Zeichen dafür sein, dass VapeV7 Ransomware fehlerhaft ist oder sich noch in der Entwicklung befindet. Es ist jedoch nicht ausgeschlossen, dass Cyberkriminelle hinter dieser Ransomware die Fehler entfernen und zukünftige Opfer mit zuverlässigeren Entschlüsselungsrichtlinien treffen werden. Trotz dieser Tatsache ist es leider weniger wahrscheinlich, dass Dateien, die von VapeV7 Ransomware verschlüsselt wurden, manuell entschlüsselt werden können.

Charmant ist ein Schadprogramm, das in die Kategorie Ransomware fällt. Malware dieser Art ist darauf ausgelegt, den Zugriff auf Daten zu verschlüsseln und die Opfer für deren Entschlüsselung bezahlen zu lassen. Während der Zugriff auf im System gespeicherte Dateien verschlüsselt wird, weist diese Ransomware-Variante auch die .charmant Erweiterung, um die blockierten Daten hervorzuheben. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf und verliert sein ursprüngliches Symbol. Unmittelbar nachdem die Verschlüsselung abgeschlossen ist, wird eine Textnotiz namens #RECOVERY#.txt wird erstellt, um Entschlüsselungsrichtlinien zu bieten. Um Kontakt mit Cyberkriminellen aufzunehmen und die Entschlüsselung gesperrter Dateien anzufordern, werden die Opfer angewiesen, per E-Mail oder Jabber-Client (einem sicheren Nachrichtendienst) zu schreiben. Nach erfolgreicher Kommunikation mit Cyberkriminellen werden die Opfer höchstwahrscheinlich aufgefordert, eine bestimmte Lösegeldgebühr zu zahlen, um spezielle Software und einen Entschlüsselungsschlüssel zu erhalten. Darüber hinaus warnt die Nachricht davor, Änderungen an Dateien auszuführen oder zu versuchen, sie mit Tools von Drittanbietern zu entschlüsseln, da solche Aktionen zu dauerhaften Schäden führen können. Auch wenn diese Informationen zunächst darauf abzielen, unerfahrene Benutzer zu erschrecken und schließlich für die Entschlüsselung zu bezahlen, sind sie tatsächlich wahr. Ohne die richtigen Entschlüsselungsschlüssel, die von Cyberkriminellen gespeichert werden, ist es selten möglich, Dateien vollständig und ohne Schadensrisiken zu entschlüsseln. Zum Zeitpunkt des Schreibens dieses Artikels ist kein Tool eines Drittanbieters bekannt, das in der Lage wäre, die gesperrten Daten zu entschlüsseln. In seltenen Fällen funktionieren generische Entschlüsselungstools möglicherweise nur, wenn Ransomware Fehler enthielt oder es nicht schaffte, die Dateien auf die vorgesehene Weise zu verschlüsseln.

Kürzlich haben Experten die Epidemie des Virus beobachtet Boty Ransomware (eine Variante von STOP Ransomware or Djvu Ransomware). Diese Malware ist im April 2023 aufgetaucht. Es handelt sich um einen Verschlüsselungsvirus, der einen starken AES-256-Verschlüsselungsalgorithmus verwendet, um Benutzerdateien zu verschlüsseln und sie für die Verwendung ohne Entschlüsselungsschlüssel unzugänglich macht. Neueste Versionen dieses Schädlings hinzufügen .boty Erweiterungen für betroffene Dateien. Boty Ransomware erstellt eine spezielle Textdatei, die als „Lösegeldforderung“ bezeichnet und benannt wird _readme.txt. In dieser Textdatei geben Übeltäter Kontaktdaten, allgemeine Informationen zur Verschlüsselung und Optionen zur Entschlüsselung an. Der Virus kopiert es auf den Desktop und in die Ordner mit verschlüsselten Dateien. Übeltäter können per E-Mail kontaktiert werden: support@freshmail.top und datarestorehelp@airmail.cc.

Boza Ransomware ist eine neue Variante der STOP/Djvu Ransomware die Anfang April 2023 aufgetaucht ist. Diese Ransomware fügt die hinzu .boza Erweiterung zu den verschlüsselten Dateien, wodurch sie für den Benutzer unzugänglich werden. Wie andere Ransomware-Varianten verwendet Boza Ransomware fortschrittliche Verschlüsselungsalgorithmen, um Dateien zu sperren, und fordert ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Die Ransomware zielt auf eine Vielzahl von Dateien ab, darunter Dokumente, Bilder, Videos, Audios und andere Benutzerdaten. Sobald die Ransomware einen Computer infiziert, durchsucht sie das gesamte System nach Dateien und verschlüsselt sie mit dem AES-256-Verschlüsselungsalgorithmus, wodurch sie unzugänglich werden. Die Ransomware hinterlässt auch eine Lösegeldforderung namens _readme.txt, die Anweisungen für den Benutzer bereitstellt, das Lösegeld im Austausch für den Entschlüsselungsschlüssel an den Angreifer zu zahlen. Die Angreifer verwenden außerdem einen eindeutigen Verschlüsselungsschlüssel für jedes infizierte System, was es für Sicherheitsforscher schwierig macht, ein universelles Entschlüsselungstool zu entwickeln.