Ransomware

Cylance ist der Name einer Ransomware-Infektion, die auf Windows- und Linux-Benutzer abzielt. Benutzer, die mit dieser Art von Malware infiziert sind, können aufgrund der Verschlüsselung nicht mehr auf ihre Daten zugreifen. Darüber hinaus sehen die Opfer auch die betroffenen Dateien, die mit dem geändert wurden .Cylance Verlängerung. Danach sind sie nicht mehr zugänglich und die Opfer müssen den Entschlüsselungsanweisungen in der generierten Lösegeldforderung (named CYLANCE_README.txt). Bitte beachten Sie, dass Cylance Ransomware nichts mit Cylance von BlackBerry zu tun hat – legitime Cybersicherheitslösungen für Unternehmen. Im Allgemeinen besagt die Lösegeldforderung, dass die Daten des Opfers verschlüsselt wurden und Cyberkriminelle die einzigen Besitzer privater Schlüssel sind, die sie entschlüsseln können. Um diesen Schlüssel und vermutlich eine Software zum Ausführen der Entschlüsselung zu erhalten, werden die Opfer angewiesen, die Betrüger per E-Mail zu kontaktieren und ihnen Geld zu überweisen. Der Preis wird nicht bekannt gegeben und höchstwahrscheinlich für jedes Opfer separat berechnet. Darüber hinaus bieten Cyberkriminelle auch an, die Entschlüsselung kostenlos zu testen, indem sie eine verschlüsselte Datei senden. Egal wie vertrauenswürdig Cyberkriminelle erscheinen, es wird immer davon abgeraten, mit ihnen zusammenzuarbeiten und das Lösegeld zu zahlen. Viele Opfer werden getäuscht und erhalten die versprochenen Entschlüsselungswerkzeuge nicht. Obwohl dies bei Cylance Ransomware nicht gemeldet wurde, besteht das Risiko dennoch.

Nifr Ransomwareein Teil von STOP Ransomware (DjVu Ransomware)-Familie, ist ein ausgeklügelter Verschlüsselungsvirus, der Benutzerdateien verschlüsselt und unzugänglich macht. Malware verwendet einen unknackbaren AES (Salsa20)-Verschlüsselungsalgorithmus, und eine Entschlüsselung ist nur in 2-3 % der Fälle möglich. Es generiert zunächst einen eindeutigen AES-256-Verschlüsselungsschlüssel für jede verschlüsselte Datei, der zum Verschlüsseln des Inhalts der Datei verwendet wird. Dieser Vorgang wird als symmetrische Verschlüsselung bezeichnet, da derselbe Schlüssel zum Verschlüsseln und Entschlüsseln der Datei verwendet wird. Nach dem Verschlüsseln der Datei mit dem AES-256-Schlüssel verschlüsselt Nifr Ransomware den AES-256-Schlüssel mit einem öffentlichen RSA-1024-Schlüssel, der im Code der Ransomware enthalten ist. Dieser Vorgang wird als asymmetrische Verschlüsselung bezeichnet, da er unterschiedliche Schlüssel für die Verschlüsselung und Entschlüsselung verwendet. Die neueste Version von STOP Ransomware fügt das folgende Suffix oder die folgende Erweiterung hinzu: .nifr. Die entsprechende Virusvariante erhielt Namen: Nifr Ransomware. Nach der Verschlüsselung erstellt die Ransomware _readme.txt Datei, die Spezialisten "Lösegeldforderung" nennen, und unten können Sie sich mit dem Inhalt dieser Datei vertraut machen. Die Notiz enthält Anweisungen zur Kontaktaufnahme mit den Ransomware-Betreibern und zur Zahlung des Lösegelds, um den Entschlüsselungsschlüssel zu erhalten. Die Ransomware wird normalerweise über Spam-E-Mails, gefälschte Software-Updates und Software-Cracks/Keygens verbreitet. Es ist wichtig zu beachten, dass die Zahlung des Lösegelds nicht empfohlen wird, da es die Kriminellen ermutigt und es keine Garantie dafür gibt, dass der Entschlüsselungsschlüssel bereitgestellt wird.

D7k ist der Name einer kürzlich entdeckten Ransomware-Infektion. Wie andere Infektionen in dieser Kategorie ist es darauf ausgelegt, im System gespeicherte Daten zu verschlüsseln und Geld für die Entschlüsselung von den Opfern zu erpressen. Während der Verschlüsselung werden alle Zieldateien abgerufen .D7k Erweiterung und setzen Sie ihre Symbole auf leer zurück. Infolgedessen können Benutzer nicht mehr auf ihre Dateien zugreifen, selbst nachdem sie die neu zugewiesene Erweiterung manuell entfernt haben. Sobald die erfolgreiche Verschlüsselung abgeschlossen ist, erstellt der Virus eine Textdatei namens note.txt, die Entschlüsselungsrichtlinien enthält. Die Notiz enthält einen kurzen Text, der 500 $ Dollar für die Dateientschlüsselung fordert. Dieser Betrag soll an die von Cyberkriminellen angehängte Bitcoin-Wallet gesendet werden. Die Nachricht enthält keine Kommunikationskanäle, was den Entschlüsselungsprozess mehrdeutig macht. Die Zahlung des Lösegelds wird nicht empfohlen, da viele Cyberkriminelle ihre Opfer täuschen und im Gegenzug keine versprochenen Entschlüsselungsmittel senden. In diesem Fall scheint es jedoch noch riskanter zu sein, da jegliche Kommunikationskanäle fehlen, um mit den Erpressern in Kontakt zu treten. Trotzdem sind Cyberkriminelle in der Regel die einzigen Personen, die den Zugriff auf Daten vollständig und sicher freischalten können. Zum Zeitpunkt der Erstellung dieses Artikels sind keine öffentlichen Tools von Drittanbietern bekannt, die die von D7k Ransomware zugewiesenen Chiffren umgehen können. Die Entschlüsselung mit Tools von Drittanbietern oder die Verwendung von Windows-Schattenkopien ist nur in seltenen Fällen möglich, wenn die Ransomware fehlerhaft ist oder während ihres Betriebs aus irgendeinem Grund versehentlich fehlerhaft ist. Andernfalls besteht die einzige Möglichkeit, Ihre Daten wiederherzustellen, darin, entweder mit Ransomware-Entwicklern zusammenzuarbeiten oder Daten aus vorhandenen Sicherungskopien abzurufen. Backups sind Kopien von Daten, die auf externen Geräten wie USB-Laufwerken, externen Festplatten oder SSDs gespeichert sind.

Jycx Ransomware (in anderer Klassifikation STOP Ransomware or Djvu Ransomware) ist schädliche Malware, die den Zugriff auf die Dateien des Benutzers blockiert, indem sie sie verschlüsselt, und einen Buyout erfordert. Es wurde in den letzten Tagen des März 2023 veröffentlicht und traf Zehntausende Computer. Der Virus verwendet einen unknackbaren Verschlüsselungsalgorithmus (AES-256 mit RSA-1024-Schlüssel) und verlangt ein Lösegeld in Bitcoins. Aufgrund einiger Programmierfehler gibt es jedoch Fälle, in denen Ihre Dateien entschlüsselt werden können. Eine Version von STOP Ransomware, die wir heute in Betracht ziehen, fügt hinzu .jycx Erweiterungen für verschlüsselte Dateien und erhielt daher den Namen Jycx Ransomware. Nach der Verschlüsselung präsentiert es die Datei _readme.txt zum Opfer. Diese Textdatei enthält Informationen über die Infektion, Kontaktdaten und falsche Angaben zu Entschlüsselungsgarantien. Die folgenden E-Mails werden von Übeltätern zur Kommunikation verwendet: support@freshmail.top und datarestorehelp@airmail.cc.

Hairysquid ist eine neu entdeckte Variante des Mimic Ransomware. Nach dem Eindringen ändert es die Windows-Gruppenrichtlinie, deaktiviert den Schutz durch Windows Defender und deaktiviert andere Windows-Funktionen, um jegliche Abschreckung seiner bösartigen Aktivitäten auszuschließen. Das Ziel dieser Infektion ist es, den Zugriff auf im System gespeicherte Daten zu verschlüsseln und Geld für deren Entschlüsselung zu verlangen. Während der Verschlüsselungsprozesse hängt der Virus die .Hairysquid Erweiterung für alle betroffenen Dateien. Sobald dies erledigt ist, wird eine Datei wie 1.pdf wird sich wenden an 1.pdf.Hairysquid und ändern Sie schließlich sein Symbol. Anweisungen zum Entschlüsseln der blockierten Daten finden Sie in der READ_ME_DECRYPTION_HAIRYSQUID.txt Hinweis, der neben erfolgreicher Verschlüsselung erstellt wird. Insgesamt sollen Opfer von Ransomware angegriffen worden sein, die ihre Daten verschlüsselt hat. Um den Schaden rückgängig zu machen und die Dateien zurückzubekommen, müssen die Opfer die Betrüger über einen der bereitgestellten Kommunikationskanäle (TOX-Messenger, ICQ-Messenger, Skype und E-Mail) kontaktieren und die Entschlüsselung in Bitcoins bezahlen. Der Preis für die Entschlüsselung soll sich nach der Anzahl und dem potenziellen Wert der verschlüsselten Daten berechnen. Darüber hinaus ist es auch erlaubt, die Entschlüsselung kostenlos zu testen, indem 3 gesperrte Dateien an Cyberkriminelle gesendet werden. Leider ist es normalerweise unmöglich, blockierte Daten ohne die Beteiligung von Cyberkriminellen selbst zu entschlüsseln.

Jyos Ransomware (aka Djvu Ransomware or STOP Ransomware) verschlüsselt die Dateien des Opfers mit Salsa20 (Stream-Verschlüsselungssystem) und hängt eine von Hunderten von möglichen Erweiterungen an, einschließlich der zuletzt entdeckten .jyos. Dieser erschien Ende März 2023 und infizierte weltweit tausende Computer. STOP ist heute eine der aktivsten Ransomware, aber sie sprechen kaum darüber. Die Verbreitung von STOP wird auch durch den äußerst aktiven Forenthread auf Bleeping Computer bestätigt, in dem Opfer Hilfe suchen. Tatsache ist, dass diese Malware hauptsächlich Fans von Raubkopien, Besucher verdächtiger Seiten angreift und als Teil von Werbepaketen verbreitet wird. Es gibt eine Möglichkeit für eine erfolgreiche Entschlüsselung, aber bis heute gibt es mehr als zweihundert STOP-Ransomware-Varianten, die den Forschern bekannt sind, und eine solche Vielfalt erschwert die Situation erheblich.

Jypo Ransomware ist die nächste Generation von STOP Ransomware Familie von den gleichen Autoren. Die Ransomware-Familie ist bekannt für ihre weite Verbreitung und häufige Updates mit neuen Varianten. Wie andere Mitglieder der Djvu-Familie wurde Jypo Ransomware entwickelt, um die Dateien des Opfers zu verschlüsseln und eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel zu verlangen. Die von Jypo Ransomware hinterlassene Lösegeldforderung weist das Opfer an, die Angreifer per E-Mail zu kontaktieren, um die Lösegeldzahlung auszuhandeln. Dieser Virus zielt auf wichtige Benutzerdateien wie Dokumente, Fotos, Datenbanken, Musik und E-Mails ab. Ransomware verschlüsselt sie mit AES-Verschlüsselung und fügt hinzu .jypo Erweiterungen für betroffene Dateien. Alle diese Varianten verwenden ähnliche Algorithmen, die unzerbrechlich sind, jedoch können unter bestimmten Bedingungen .jypo-Dateien, die von der Ransomware verschlüsselt wurden, mit STOP Djvu Decryptor (unten bereitgestellt) entschlüsselt werden. Diese Version von STOP Ransomware verwendet die folgenden E-Mail-Adressen: support@freshmail.top und datarestorehelp@airmail.cc. Jypo Ransomware erstellt _readme.txt Lösegeldnotizdatei.

Jywd ist eine Ransomware-Infektion, die von der stammt Djvu/STOP Familie. Diese Familie ist eine Gruppe von Entwicklern, die dafür verantwortlich sind, eine Reihe von Benutzern mit verschiedenen Dateiverschlüsselungsprogrammen zu infizieren. Jywd ist neu, erschien Ende März 2023, hat aber sehr ähnliche Eigenschaften wie seine Vorgänger. Jywd Ransomware verwendet wie andere Varianten der STOP/Djvu Ransomware-Familie eine Kombination aus AES-256- und RSA-1024-Verschlüsselungsalgorithmen, um die Dateien des Opfers zu verschlüsseln. AES-256 wird verwendet, um die Dateien selbst zu verschlüsseln, während RSA-1024 verwendet wird, um den AES-256-Schlüssel zu verschlüsseln. Dies macht es extrem schwierig, die verschlüsselten Dateien ohne den Entschlüsselungsschlüssel wiederherzustellen. Der Virus verschlüsselt persönliche Daten beim Zuweisen der .jywd Entschlüsselung. Zur Veranschaulichung eine Datei namens 1.pdf wird eine Veränderung erfahren 1.pdf.jywd und nach erfolgreicher Verschlüsselung sein ursprüngliches Symbol zurücksetzen. Um die blockierten Daten zu entschlüsseln, erhalten die Opfer Anweisungen, die sie in einer Lösegeldforderung (_readme.txt).