Ransomware

IceFire ist der Name einer als Ransomware klassifizierten Computerinfektion. Cyberkriminelle dahinter zielen auf die Datenverschlüsselung von Geschäftsbenutzern ab und erpressen dann Geld (in der Kryptowährung Monero) für die Dateientschlüsselung. Bei der Analyse technischer Berichte über den Virus haben wir gesehen, dass er eine Kombination aus kryptografischen AES- und RSA-Algorithmen verwendet, um wichtige Daten zu verschlüsseln. Genau wie andere Infektionen dieser Art verwendet IceFire Ransomware eine eigene Erweiterung - .iFire um die eingeschränkten Daten hervorzuheben. Zur Veranschaulichung eine zuvor betitelte Datei 1.pdf wird ändern zu 1.pdf.iFire und nicht mehr zugänglich werden. Nach erfolgreicher Verschlüsselung geben Cyberkriminelle Anweisungen dazu, welche Wiederherstellungsschritte innerhalb der iFire-readme.txt Hinweis.

Venus ist ein Ransomware-artiger Virus, der kürzlich von einem Malware-Forscher namens S!Ri entdeckt wurde. Seine Hauptfunktion ist die Dateiverschlüsselung und auch die Erpressung von Geld für die Entschlüsselung von Opfern. Beim Verschlüsseln von Daten mit kryptografischen Algorithmen werden alle betroffenen Dateien mit geändert .venus Verlängerung. Zur Veranschaulichung ggf 1.pdf von der Infektion betroffen ist, wird es werden 1.pdf.venus auch und setzen Sie das ursprüngliche Symbol zurück. Danach können sich die Opfer mit den Entschlüsselungsanweisungen innerhalb des vertraut machen README.txt hinweis. Desktop-Hintergründe werden ebenfalls ersetzt.

WildFire Locker ist ein als Ransomware kategorisiertes Schadprogramm. Es funktioniert, indem es den Zugriff auf Daten beschränkt (mit AES-256 CBC-Verschlüsselungsalgorithmen) und dann Geld von den Opfern verlangt. Während des Datenverschlüsselungsprozesses erhalten alle Zieldateien dieses lange und geschriebene Format #WildFire_Locker#[original file name]##.[original extension].wflx. Cyberkriminelle tun dies, um die Verschlüsselung hervorzuheben und Opfer dazu zu bringen, sie zu erkennen. Zum Beispiel eine zuvor benannte Datei documents.pdf wird daher so etwas wie #WildFire_Locker#documents##.pdf.wflx und setzen Sie auch das ursprüngliche Symbol zurück. Anschließend erstellt der Virus drei Dateien mit den Erweiterungen .txt, .html und .bmp, die relevante Informationen zum Entschlüsselungsverfahren enthalten. Die detailliertesten Anweisungen finden Sie in der HOW_TO_UNLOCK_FILES_README_(Eindeutige ID des Opfers).txt Textnotiz.

PLAY ist ein Ransomware-artiger Virus, der wichtige Daten verschlüsselt und Geld von den Opfern erpresst. Beim Rendern von Dateien, auf die nicht zugegriffen werden kann, weist es die .PLAY Erweiterung und erstellt auch eine Textnotiz namens ReadMe.txt. Beispielsweise eine zuvor betitelte Datei 1.pdf wird ändern zu 1.pdf.PLAY und setzen Sie das Symbol nach der Verschlüsselung zurück. Seitdem verlieren die Opfer die Kontrolle über ihre Daten und müssen in der erstellten Textnotiz Anweisungen zur Wiederherstellung lesen. Es ist üblich, dass Ransomware-Infektionen über Phishing-Techniken verbreitet werden. Ein Virus kann als legitim aussehende Datei (z. B. Word, Excel, PDF, EXE, JavaScript, RAR, ZIP usw.) getarnt und in einem E-Mail-Spam-Brief verschickt werden. Ein solches Schreiben kann Informationen enthalten, die die „Bedeutung“ des Öffnens angehängter Dateien oder Links erläutern.

Ransomcrow ist eine Ransomware-Infektion, die darauf ausgelegt ist, wertvolle Daten zu verschlüsseln und Opfer zu erpressen, Geld für deren Abruf zu zahlen. Während der Verschlüsselung weist es die .encrypted Erweiterung, die für viele Dateiverschlüsseler generisch ist. Zur Veranschaulichung eine Datei mit dem anfänglichen Namen 1.pdf wird ändern zu 1.pdf.encrypted und lassen Sie auch sein Symbol fallen. Danach erstellt der Virus eine Textnotiz namens readme.txt und ersetzt auch Desktop-Hintergründe. Die Informationen in der generierten Notiz sollen die Opfer durch den Wiederherstellungsprozess führen. Es wird gesagt, dass eine Zahlung in Höhe von 50 € in Bitcoins für die Übertragung erforderlich ist, um spezielle Entschlüsselungswerkzeuge zu erhalten und die Daten zurückzugeben. Opfer können Betrüger auch für persönliche Kommunikation über die angegebene E-Mail-Adresse (ransomcrow@proton.me) kontaktieren. In der Regel ist die Entschlüsselung ohne die Hilfe von Cyberkriminellen sehr komplex und sogar unmöglich - es kann das Gegenteil sein, wenn es einige Fehler oder Fehler gibt, die die Einmischung Dritter verringern.

Payt ist der Name einer Ransomware-Infektion, die im System gespeicherte Daten verschlüsselt und die Opfer erpresst, Geld für ihre Rückgabe zu zahlen. Dies geschieht durch Hinzufügen neuer Dateinamen (bestehend aus der eindeutigen ID des Opfers, der E-Mail-Adresse des Cyberkriminellen und .Payt or .payt Verlängerung). So wird beispielsweise eine mit Payt Ransomware infizierte Bilddatei wahrscheinlich aussehen - 1.png.[MJ-YK7364058912](wesleypeyt@tutanota.com).Payt. Danach rief ein geldfordernder Zettel an ReadthisforDecode.txt wird auf dem Desktop generiert. Wie in dieser Nachricht angegeben, sollten Opfer eine E-Mail an die Adressen wesleypeyt@tutanota.com oder wesleypeyt@gmail.com schreiben und ihr Interesse an der Entschlüsselung von Daten bekunden. Es ist auch möglich, eine Testdatei zu senden und diese kostenlos entschlüsseln zu lassen – so wollen Cyberkriminelle zeigen, dass ihre Entschlüsselung tatsächlich funktioniert und sich darauf verlassen kann.

World2022decoding ist eine kürzlich aufgetretene Ransomware-Infektion, bei der auf Geräten gespeicherte Daten verschlüsselt und Opfer erpresst wurden, um dafür Geld zu bezahlen. Während der Verschlüsselung werden alle betroffenen Dateien mit der persönlichen ID des Opfers und der .world2022decoding Verlängerung ebenso. Infolgedessen erhält es ein ähnliches neues Aussehen wie dieses - von zuvor nicht infiziert 1.png bis jetzt eingeschränkt 1.png.[9222911A].world2022decoding. Dies ist nur ein Beispiel und kann bei allen Daten vorkommen, insbesondere bei Dokumenten und Datenbanken. Cyberkriminelle erstellen auch eine Textnotiz namens WE CAN RECOVER YOUR DATA.MHT das enthält Anweisungen zur Rückgabe der Dateien.

Arai ist ein bösartiges Programm, das auf Unternehmensbenutzer abzielt, um Geschäftsdaten zu verschlüsseln und von den Opfern Geld für die Rückgabe zu verlangen. Während der Zugriff auf Daten eingeschränkt wird, ändert der Virus Dateien mit der .araicrypt -Erweiterung, was ebenfalls zu leeren Symbolen führt. Zum Beispiel eine Datei wie 1.pdf würde sich ändern zu 1.pdf.araicrypt und verliert sein ursprüngliches Symbol. Danach werden die Daten unzugänglich und nicht mehr nutzbar. Der nächste Schritt, den Arai macht, ist das Erstellen einer Textnotiz namens READ_TO_RESTORE_YOUR_FILES.txt. Dieser Hinweis erläutert, was passiert ist und wie sich die Opfer davon erholen können. Kurz gesagt, Cyberkriminelle teilen mit, dass alle wichtigen Daten (Datenbanken, Kundendaten usw.) kopiert und lokale Backups gelöscht wurden. Es wird auch gesagt, dass die Opfer im Falle der Nichteinhaltung der bereitgestellten Anweisungen die Chance verlieren, die Daten wiederherzustellen, und außerdem sowohl finanziellen als auch Reputationsschäden ausgesetzt sind – aufgrund einer möglichen späteren Veröffentlichung der Daten. Andernfalls sollten die Opfer die Betrüger über eine der angegebenen E-Mail-Adressen kontaktieren und für die Entschlüsselung bezahlen (angeblich teuer und in Kryptowährung). In einem solchen Fall versprechen die Erpresser, die gesammelten Daten zu löschen und sie daher nicht zu veröffentlichen.