Ransomware

Alice Ransomware ist ein bösartiges Programm, das entwickelt wurde, um die persönlichen Daten der Benutzer zu verschlüsseln und Geld für die Entschlüsselung zu verlangen. Während der Zugriff auf Dateien mit Hilfe sicherer Algorithmen verschlüsselt wird, weist der Dateiverschlüsseler auch die .alice Erweiterung auf verschlüsselte Daten. Zum Beispiel eine Datei wie 1.pdf wird wahrscheinlich zu ändern 1.pdf.alice und setzen Sie das ursprüngliche Symbol zurück. Viele Ransomware-Infektionen weisen ihre benutzerdefinierte Erweiterung zu, um verschlüsselte Dateien zu unterscheiden und die Benutzer auf die Änderung aufmerksam zu machen. Anweisungen zur Rückgabe der Dateien finden Sie in der How To Restore Your Files.txt Textdatei, die nach erfolgreicher Verschlüsselung erstellt wird. Diese Textnotiz enthält in russischer Sprache verfasste Richtlinien, was darauf hinweist, dass sich dieser Verschlüsseler hauptsächlich an russischsprachige Benutzer richtet. Es ist erwähnenswert, dass Alice in zwei Varianten mit leicht unterschiedlichem Text der Lösegeldforderung verteilt wurde.

STOP Ransomware ist eine Plage von 2017-2023, hartnäckiger Virus basierend auf Verschlüsselungstechnologie, Qotr Ransomware ist eine neuere Version davon. Ransomware verwendet den AES-Verschlüsselungsalgorithmus, um wichtige Dateien zu verschlüsseln, und erpresst ein Lösegeld in Bitcoins für die Entschlüsselung. Diese Malware zielt hauptsächlich auf westliche Länder ab, aber es wurden Tausende von Infektionen in anderen Teilen der Welt entdeckt. Qotr Ransomware verwendet dieselben Muster, fügt jedoch andere Erweiterungen hinzu, um die Dateien zu ändern. Die Version, die wir heute beobachten, hängt an .qotr Erweiterung. Der Kryptovirus beeinträchtigt die wertvollen Daten des Benutzers: Fotos, Videos und Dokumente, er nimmt potenziell kritische Dateien als Geiseln. Gleichzeitig hält es die Windows-Systemdateien intakt. Alle neueren Versionen verwendeten eine Lösegeldforderungsdatei namens _readme.txt, und diese Variation ist keine Ausnahme. Alle Proben gehören denselben Autoren, da sie dieselben Kontaktdaten verwenden: support@freshmail.top und datarestorehelp@airmail.cc.

Qoqa Ransomware (das ist ein Teil einer großen Familie von STOP/Djvu Ransomware) ist ein widerwärtiger Virus, der Dateien auf Computern mit dem AES-Verschlüsselungsalgorithmus verschlüsselt, sie unzugänglich macht und im Austausch für sogenannte "Entschlüsseler" Geld verlangt. Insbesondere Dateien, die von der neuesten Version von STOP Ransomware verarbeitet wurden, können unterschieden werden nach .qoqa Erweiterungen. Die Analyse ergab, dass das mit dem "Crack" oder der Adware geladene kryptografische Installationsprogramm unter einem beliebigen Namen in der %LocalAppData%\ Mappe. Bei der Ausführung werden dort vier ausführbare Dateien geladen: 1.exe, 2.exe, 3.exe und updatewin.exe. Der erste ist für die Neutralisierung von Windows Defender verantwortlich, der zweite für die Blockierung des Zugriffs auf Websites für Informationssicherheit. Nach dem Start der Malware wird auf dem Bildschirm eine gefälschte Meldung angezeigt, die über die Installation des Updates für Windows informiert. Tatsächlich sind derzeit fast alle Benutzerdateien auf dem Computer verschlüsselt. In jedem Ordner mit verschlüsselten Dokumenten befindet sich eine Textdatei (_readme.txt) erscheint, in der Angreifer die Funktionsweise des Virus erklären. Sie bieten ihnen Lösegeld für die Entschlüsselung an und fordern sie auf, keine Programme von Drittanbietern zu verwenden, da dies zur Löschung aller Dokumente führen kann.

Roghe ist ein Ransomware-Virus, der auf persönliche Daten von Opfern abzielt. Nachdem die Malware ein Zielsystem infiziert hat, beginnt sie mit der Verschlüsselung potenziell wichtiger Dateien, wodurch sie unzugänglich werden, bis ein Entschlüsselungsschlüssel abgerufen wird. Während des Verschlüsselungsprozesses weist Roghe Ransomware die .enc Erweiterung für infizierte Dateien. Zum Beispiel eine Datei wie 1.pdf wird sich wenden an 1.pdf.enc und so weiter mit anderen betroffenen Dateien. Sobald alle Dateien verschlüsselt sind, ändert der Virus die Desktop-Hintergründe und öffnet zwangsweise ein Popup-Fenster mit Entschlüsselungsrichtlinien. Der Text auf neu zugewiesenen Hintergrundbildern informiert Benutzer darüber, dass sie infiziert wurden, und ermutigt sie, den Anweisungen aus dem geöffneten Popup-Fenster zu folgen. Darüber hinaus enthält es auch einen QR-Code, der zu weiteren Informationen über die Malware führt. Das „Roghe Decryptor“-Fenster sagt, dass Opfer 15 Minuten Zeit haben, um den Schlüssel abzurufen und einzufügen, um den Zugriff auf Dateien freizuschalten – andernfalls werden die verschlüsselten Dateien für immer gelöscht. Es heißt auch, dass das Betriebssystem innerhalb von 20 Minuten nicht mehr zugänglich sein wird und im Wesentlichen gesperrt wird.

Neue Welle von STOP Ransomware Infektion geht weiter mit Qowd Ransomware, das hängt .qowd Erweiterungen. STOP Ransomware wurde erstmals im Jahr 2018 entdeckt und hat sich seitdem zu einer der am weitesten verbreiteten Arten von Ransomware entwickelt. Diese „.qowd“-Erweiterungen werden verschlüsselten Dateien Ende Februar 2023 hinzugefügt. Dieser knifflige Virus verwendet den AES-Verschlüsselungsalgorithmus, um wichtige Informationen der Benutzer zu verschlüsseln. In der Regel greift Qowd Ransomware Fotos, Videos und Dokumente an – Daten, die Menschen schätzen. Die Malware-Entwickler erpressen Lösegeld und versprechen, im Gegenzug einen Entschlüsselungsschlüssel bereitzustellen. Eine vollständige Entschlüsselung verlorener Daten ist in wenigen Fällen möglich, wenn ein Offline-Verschlüsselungsschlüssel verwendet wurde. Verwenden Sie andernfalls die Anweisungen auf der Seite, um verschlüsselte Dateien wiederherzustellen. Die Ransomware erstellt auch eine Lösegeldforderung (_readme.txt), die das Opfer über den Angriff informiert und die Zahlung in Bitcoin oder anderen Kryptowährungen im Austausch für den Entschlüsselungsschlüssel verlangt.

Iotr Ransomware (manchmal genannt STOP Ransomware or DjVu Ransomware) ist ein weit verbreiteter Verschlüsselungsvirus, der erstmals im Dezember 2017 auftauchte. Seitdem wurden viele technische und gestalterische Änderungen vorgenommen und einige Malware-Generationen geändert. Ransomware verwendet den Verschlüsselungsalgorithmus AES-256 (CFB-Modus), um Benutzerdateien zu verschlüsseln, und fügt diese letzte Version (erschienen Ende Februar 2023) hinzu .iotr Erweiterungen. Nach der Verschlüsselung erstellt der Virus eine Textdatei _readme.txt, die als „Lösegeldforderung“ bezeichnet wird und in der Hacker den Lösegeldbetrag, Kontaktinformationen und Zahlungsanweisungen offenlegen. STOP Ransomware mit .iotr-Dateierweiterungen verwenden folgende E-Mails: support@freshmail.top und datarestorehelp@airmail.cc, genau wie Dutzende seiner Vorgänger.

Kangaroo ist eine Ransomware-Infektion, die von Entwicklern hinter früheren Dateiverschlüsseln wie Apocalypse, Fabiansomware und Esmeralda veröffentlicht wurde. Obwohl dieser Dateiverschlüsseler im Jahr 2021 aktiv im Umlauf war, könnten einige Benutzer auch heute noch von ihm durchdrungen werden. Der Zweck von Malware in dieser Kategorie besteht darin, potenziell wichtige Daten zu verschlüsseln und Geld für die Entschlüsselung von den Opfern zu erpressen. Das Merkmal, das Kangaroo von anderen gängigen Ransomware-Infektionen abhebt, besteht darin, dass es Registrierungswerte so konfiguriert, dass vor dem Aufrufen des Windows-Anmeldebildschirms eine Lösegeldforderung angezeigt wird. Unmittelbar nach dem Einloggen in das System wird auch ein gefälschter Bildschirm mit der gleichen Lösegeldnachricht angezeigt, diesmal jedoch mit einem speziellen Feld zum Eingeben eines Passworts zum Entsperren. Während der Verschlüsselung weist Kangaroo auch die .crypted_file Erweiterung und erstellt identische Lösegeldforderungen in Form von Textnotizen. Solche Textnotizen werden zusätzlich zu jeder verschlüsselten Datei erstellt und nach dem Namen der Datei nach der Verschlüsselung benannt (wie hier 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) ist ein extrem gefährlicher Virus, der Dateien mit dem AES-256-Verschlüsselungsalgorithmus verschlüsselt und hinzufügt .ioqa Erweiterungen für betroffene Dateien. Die Infektion betrifft hauptsächlich wichtige und wertvolle Dateien wie Fotos, Dokumente, Datenbanken, E-Mails, Videos usw. Ioqa Ransomware berührt keine Systemdateien, damit Windows funktioniert, sodass Benutzer das Lösegeld bezahlen können. Wenn der Malware-Server nicht verfügbar ist (der Computer ist nicht mit dem Internet verbunden, der Server des entfernten Hackers funktioniert nicht), verwendet das Verschlüsselungstool den darin fest codierten Schlüssel und die Kennung und führt eine Offline-Verschlüsselung durch. In diesem Fall ist es möglich, die Dateien zu entschlüsseln, ohne das Lösegeld zu zahlen. Ioqa Ransomware erstellt _readme.txt Datei, die Lösegeldnachricht und Kontaktdaten enthält, auf dem Desktop und in den Ordnern mit verschlüsselten Dateien. Entwickler können per E-Mail kontaktiert werden: support@freshmail.top und datarestorehelp@airmail.cc.