Ransomware

Wenn Ihre Dateien nicht mehr zugänglich sind und jetzt mit dem neuen erscheinen .MEOW Erweiterung (damals .PUTIN, .KREML und .RUSSLAND Erweiterungen), dann sind Sie höchstwahrscheinlich mit infiziert Meow Ransomware (aka MeowCorp2022 Ransomware und ContiStolen Ransomware). Dieser Dateiverschlüsseler blockiert mithilfe des ChaCha20-Algorithmus den Zugriff auf praktisch alle Arten von im System gespeicherten Daten und fordert die Opfer auf, Kontakt mit seinen Entwicklern aufzunehmen (vermutlich, um für die Entschlüsselung zu bezahlen). Darüber hinaus wurde auch festgestellt, dass diese Ransomware mit Code arbeitet, der von einem anderen beliebten Dateiverschlüsseler mit dem Namen gestohlen wurde Conti-2 Ransomware. Informationen zur Kontaktaufnahme mit Betrügern finden Sie in einer Textnotiz namens readme.txt, die der Virus in jedem Ordner mit verschlüsselten Dateien ablegt.

Loplup ist ein Dateiverschlüsselungsvirus, von dem festgestellt wurde, dass er Teil der ZEPPELIN Ransomware-Familie. Während der Zugriff auf im System gespeicherte Daten eingeschränkt wird, werden angegriffene Dateien umbenannt, indem der Benutzername hinzugefügt wird .loplup.[victim's_ID] Erweiterung. Dies bedeutet eine zuvor aufgerufene Datei 1.pdf wird sich in sowas ändern 1.pdf.loplup.312-A1A-FD7. Beachten Sie, dass die ID des Opfers variabel ist, sodass sie in Ihrem Fall anders sein kann. Nach erfolgreicher Verschlüsselung der Daten erstellt Loplup eine Textdatei (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT), die Entschlüsselungsrichtlinien enthält.

FirstKill ist eine Ransomware-Infektion, die entwickelt wurde, um Benutzerdaten zu verschlüsseln und Opfer zu erpressen, damit sie finanzielles Lösegeld für ihre Wiederherstellung zahlen. Es verwendet AES- und RSA-Algorithmen in Militärqualität, um eine starke Verschlüsselung auszuführen und zu verhindern, dass Opfer erneut auf ihre Dateien zugreifen. Während dieses Vorgangs benennt FirstKill auch alle Zieldateien mit der .FirstKill Erweiterung und setzt ihre ursprünglichen Symbole auf leer zurück. Zum Beispiel eine zuvor unberührte Datei wie 1.pdf wird ändern zu 1.pdf.FirstKill und nicht mehr zugänglich werden. Anschließend erstellt der Virus eine Textnotiz namens CO_SIĘ_STAŁO.html die Anweisungen zum Entschlüsseln der Daten enthält.

ChinaHelper ist ein Ransomware-Virus, der entwickelt wurde, um persönliche Daten zu verschlüsseln und Opfer zur Zahlung des Lösegelds zu erpressen. Während der Zugriff auf Daten mithilfe der Algorithmen AES-256 und RSA-2048 eingeschränkt wird, weist der Virus die .cnh Erweiterung, so dass eine Datei wie 1.pdf verwandelt sich in 1.pdf.cnh, zum Beispiel. Als nächstes erstellt ChinaHelper eine Textnotiz namens README.txt. Es gibt auch eine andere Variante, die in einer späteren Verteilung gesichtet wurde, die zugewiesen wurde .cnhelp or .charm Erweiterung zu Dateien und erstellt die HOW_TO_RETURN_FILES.txt Datei stattdessen.

Bom ist der Name einer Ransomware-Infektion. Malware dieser Kategorie verschlüsselt im System gespeicherte Daten und verlangt von den Opfern Geld für ihre Rückgabe. Auch diese Ransomware-Variante ist ein Nebenprodukt der VoidCrypt-Familie. Während der Verschlüsselung benennt der Virus alle Zieldateien gemäß diesem Beispiel um - 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Ihre umbenannten Dateien können leicht abweichen (z. B. andere Zeichenkette), aber die Basis bleibt gleich. Nachdem der Zugriff auf Daten erfolgreich eingeschränkt wurde, erstellt die Ransomware eine Textnotiz namens Schutz vor - Entschlüsselungsrichtlinien bereitzustellen.

DASHA Ransomware ist eine neue Variante von Eternity Ransomware. Diese Malware wurde entwickelt, um im System gespeicherte Daten zu verschlüsseln und Geld für ihre Entschlüsselung zu verlangen. Während der Zugriff auf Dateien (z. B. Fotos, Videos, Dokumente, Datenbanken usw.) eingeschränkt wird, ändert der Virus das Erscheinungsbild der Datei mit dem .ecrp Verlängerung. Zum Beispiel eine zuvor benannte Datei 1.pdf wird daher zu ändern 1.pdf.ecrp und nicht mehr zugänglich werden. Sobald dieser Prozess abgeschlossen ist und alle Zieldateien schließlich umbenannt sind, ersetzt DASHA die Desktop-Hintergrundbilder und zeigt ein Popup-Fenster mit Lösegeldanweisungen an.

Loki Locker ist der Name eines Ransomware-Virus, der entwickelt wurde, um Geld von Opfern zu erpressen, indem er eine starke Datenverschlüsselung durchführt. Es verwendet eine Kombination aus AES-256- und RSA-2048-Algorithmen und ändert auch die Namen verschlüsselter Daten gemäß dieser Vorlage - [][]original_file.Loki. Zum Beispiel eine zuvor benannte Datei 1.pdf wird ändern zu [DecNow@TutaMail.Com][C279F237]1.pdf.Loki und nicht mehr zugänglich werden. Es ist erwähnenswert, dass es auch einige neuere Versionen von Loki Locker gibt, die Daten mit umbenennen .Rainman, .Adair, .Boresh, .PayForKey, oder .Spyro Erweiterungen. Nach erfolgreicher Blockade von Dateien erstellt der Virus zwei Dateien (Restore-My-Files.txt und info.hta) mit ähnlichen Lösegeld fordernden Anweisungen. Darüber hinaus ersetzt Loki Locker auch die Desktop-Hintergrundbilder, um kurze Schritte anzuzeigen, was zu tun ist.

Als neue Variante von PGPCoder Ransomware, LOL! ist auch darauf ausgelegt, im System gespeicherte Daten mit Hilfe von asymmetrischen RSA- und AES-Algorithmen zu verschlüsseln. Solche Algorithmen sind oft stark und machen eine manuelle Entschlüsselung so gut wie unmöglich, dies muss jedoch weiter unten im Detail diskutiert werden. Während der Verschlüsselung hängt der Virus auch seine an .LOL! Erweiterung für jede betroffene Datei. Zum Beispiel, wenn es so wäre 1.pdf vom Verschlüssler angegriffen, würde es sich ändern 1.pdf.LOL! und unbrauchbar werden. Sobald alle Zieldateien zugriffsbeschränkt sind, löscht der Virus die get data.txt Datei in jeden Ordner, der verschlüsselte Daten enthält (einschließlich Desktop). Diese Datei soll erklären, was passiert ist, und vor allem Opfer durch den Wiederherstellungsprozess anleiten.