Ransomware

Ein Teil der Djvu und STOP Virusfamilie, Zouu Ransomware ist ein dateiverschlüsselnder Virus, der seit Mitte Januar 2023 im Internet herumschlendert. Tatsächlich verteilen Entwickler eine Vielzahl von Versionen, die sich durch Erweiterungen, E-Mails von Cyberkriminellen und andere Details voneinander unterscheiden. Es gibt über 600 Erweiterungen, die STOP Ransomware verwendet hat, um die Daten des Benutzers anzugreifen. In unserem Fall wird STOP Ransomware angehängt .zouu Erweiterung auf Dateien, damit diese verschlüsselt werden. Zum Beispiel so etwas wie 1.mp4 wird umbenannt in 1.mp4.zouu und setzen Sie das Standardsymbol nach der Infektion zurück. Nacheinander erstellt das Programm eine Notiz mit dem Namen _readme.txt das enthält Lösegeldinformationen. Normalerweise sieht der generierte Inhalt in allen Ransomware-Typen sehr ähnlich aus.

Zoqw Ransomwareein Teil von STOP Ransomware ist ein kritischer Virus, der die persönlichen Dateien des Benutzers gefährdet. Es gehört zur Familie der Dateiverschlüsselungs-Malware, die den AES-Algorithmus (Salsa20) und den unzerbrechlichen Schlüssel verwendet. Dieser Virus wird manchmal genannt Djvu Ransomware, nach dem Wort, das in den ersten Versionen als Erweiterung verwendet wurde (.djvu). Die Variante der Bedrohung, die wir heute beschreiben, modifiziert Dateien mit .zoqw Erweiterung erschien in der ersten Januarhälfte 2023 und verhält sich im Vergleich zu Dutzenden von Vorgängerversionen genauso. Dateien werden mit einem sicheren Schlüssel verschlüsselt und es gibt nur sehr geringe Chancen, sie vollständig zu entschlüsseln, insbesondere wenn ein Online-Schlüssel verwendet wurde. Bestimmte manuelle Methoden und automatische Tools, die in diesem Artikel beschrieben werden, können Ihnen jedoch dabei helfen, einige Daten erfolgreich zu entschlüsseln. Im Textfeld unten finden Sie die „Lösegeldforderung“ – eine kleine Textdatei mit einer kurzen Vireneinführung und Anweisungen zur Zahlung des Lösegelds.

Eine der größten Bedrohungen für die Computersicherheit ist heute Ransomware. Das sind verheerende Computerviren, die die Dateien der Benutzer mit verschiedenen kryptografischen Algorithmen verschlüsseln und Lösegeld für den Entschlüsselungsschlüssel erpressen. Es ist für Benutzer besonders sensibel, da es entweder persönliche Dateien wie Videos, Fotos, Musik oder Geschäftsdaten wie MS-Office-Dateiformate, E-Mails, Datenbanken angreift. Solche Dateien können für den Geschäftsbetrieb von entscheidender Bedeutung oder als Teil des Familiengedächtnisses persönlich äußerst wichtig sein. Übeltäter können Lösegeld von mehreren hundert bis mehreren tausend Dollar verlangen. STOP Ransomware ist offiziell die am weitesten verbreitete und damit gefährlichste Ransomware-Bedrohung. Es gab mehr als 650 Versionen dieses Virus in 5 Jahren. Jede Variante infiziert Tausende von Computern, und es gibt Millionen von Opfern dieser bösartigen Malware. In diesem Artikel erklären wir typische Methoden zur Bekämpfung von Bpto Ransomware und zur Entschlüsselung betroffener Dateien. Im heutigen Fokus sind Versionen von STOP (Djvu), die hinzufügen .bpto Erweiterungen. Neuere Beispiele verwenden ein sehr ähnliches Muster, um PCs zu infiltrieren und Dateien zu verschlüsseln. Nach der Verschlüsselung erstellt Ransomware eine Datei (Lösegeldforderung) mit dem Namen _readme.txt.

Theva ist der Name eines Ransomware-Virus, der im System gespeicherte Daten verschlüsselt und von den Opfern verlangt, für die Entschlüsselung Geld in Bitcoin zu zahlen. Während der Verschlüsselung werden gezielte Dateien visuell verändert – zum Beispiel 1.pdf wird ändern zu 1.pdf.[sql772@aol.com].theva und so weiter mit anderen Dateien. Nach erfolgreicher Blockierung von Daten stellt Theva Ransomware seine Entschlüsselungsanweisungen in einem Textdokument namens #_README_#.inf. Es ändert auch die Desktop-Hintergründe der Opfer. Um die Daten wiederherzustellen, werden die Opfer aufgefordert, Cyberkriminelle über die angegebene E-Mail-Adresse (sql772@aol.com) zu kontaktieren und das Lösegeld in Bitcoin-Kryptowährung zu zahlen. Es heißt, der Preis für die Entschlüsselung hänge davon ab, wie schnell Opfer Kontakt zu Betrügern aufnehmen. Nach erfolgreicher Zahlung versprechen Angreifer, das notwendige Entschlüsselungstool zu senden, das alle blockierten Daten entsperrt.

Eternity ist ein Ransomware-Virus, der von entdeckt wurde Cyble Forscher. Diese bösartige Software gehört zur Eternity-Malware-Familie und wurde entwickelt, um Geld von Opfern zu erpressen, indem potenziell wertvolle Daten verschlüsselt werden (mit sicheren AES- und RSA-Verschlüsselungsalgorithmen). Dasha ist eine weitere beliebte Ransomware-Variante aus dieser Familie. Es gibt zwei bekannte Versionen von Eternity - eine ändert Dateien nicht visuell und die andere weist die Dateien zu .ecrp Erweiterung von Dateinamen und verändert Originalsymbole. Zum Beispiel, 1.pdf kann entweder gleich bleiben oder werden 1.pdf.ecrp nach der Verschlüsselung, je nachdem, welche Ransomware-Version das System angegriffen hat. Nach erfolgreichem Abschluss der Verschlüsselung zeigt Eternity ein Popup-Fenster mit Entschlüsselungsanweisungen an. Da es sich bei Eternity Ransomware um einen öffentlichen Malware-as-a-Service (MaaS)-Virus handelt, den viele Bedrohungsakteure möglicherweise kaufen, kann auch der Inhalt der Anweisungen (Kontaktdaten, Lösegeldhöhe, Countdowns usw.) leicht variieren. Nachfolgend finden Sie Beispiele für Lösegeldtexte von zwei Ransomware-Varianten.

Black Hunt ist eine bösartige Infektion, die als Ransomware eingestuft wird. Nach der Infiltration beginnt es mit der Verschlüsselung von Daten und erpresst dann die Opfer, für die Entschlüsselung zu bezahlen (in #BlackHunt_ReadMe.hta und #BlackHunt_ReadMe.txt Lösegeldforderungen). Während der Verschlüsselung weist der Virus auch die ID des Opfers, die E-Mail-Adresse des Cyberkriminellen und andere zu .black Erweiterung auf beeinflusste Dateien. Zur Veranschaulichung eine Datei mit dem ursprünglichen Namen 1.pdf wird sich in sowas ändern 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] und erwerben Sie auch das neue Black Hunt-Symbol. Desktop-Hintergründe werden ebenfalls geändert. In den Lösegeldforderungen geben Cyberkriminelle an, dass die Opfer 14 Tage Zeit haben, sie per E-Mail zu kontaktieren und einen eindeutigen Schlüssel zur Entschlüsselung zu kaufen. Wenn die Frist nicht eingehalten wird, sagen Bedrohungsakteure, dass sie die gesammelten Daten verkaufen oder an verschiedene Dritte weitergeben werden. Opfer können ihre "Datenlage" über den bereitgestellten TOR-Link überprüfen.

ScareCrow ist eine Ransomware-Infektion, die erstmals 2019 auf Malware-Radaren auftauchte. Seitdem hat die Ransomware einige unbedeutende Änderungen und Upgrades erfahren. Zum Beispiel, je nachdem, welche ScareCrow-Versionen das System angegriffen haben .scrcrw or .CROW Zieldateien werden Erweiterungen zugewiesen. Ransomware-Infektionen sollen potenziell wertvolle Daten verschlüsseln und blockieren, bis die Opfer die Forderungen der Cyberkriminellen nach Zahlung eines Lösegelds erfüllen. ScareCrow verwendet eine Kombination aus AES- und RSA-Verschlüsselungsalgorithmen, um Daten gründlich zu verschlüsseln. Nachdem Dateien erfolgreich unzugänglich gemacht wurden, öffnet der Virus automatisch ein Popup-Fenster mit Entschlüsselungsanweisungen. Bitte beachten Sie, dass die Zahlung des Lösegelds möglicherweise nicht obligatorisch ist – den Opfern wird empfohlen, sich an einen seriösen Ransomware-Forscher zu wenden Michael Gillespie und ScareCrow-Dateien kostenlos entschlüsseln.

Lucknite (ETH) or LuckniteRansom ist ein Ransomware-Virus, der kürzlich von Malware-Forschern untersucht wurde. Der Zweck dieses Malware-Typs besteht darin, potenziell wichtige Daten zu verschlüsseln und als Geisel zu halten, bis die Opfer Geld für Lösegeld zahlen. Während der Verschlüsselung weist diese Ransomware auch die .lucknite Erweiterung für jede Zieldatei. Zum Beispiel ursprünglich benannt 1.pdf wird ändern zu 1.pdf.lucknite und verliert sein Verknüpfungssymbol nach der Verschlüsselung. Danach bieten Cyberkriminelle Entschlüsselungsanweisungen in der README.txt Hinweis. Manchmal kann der Inhalt des Lösegelds leicht variieren, je nachdem, welche Ransomware-Version das System betroffen hat.