Ransomware

Proton ist eine Ransomware-Infektion. Der Zweck dieses Virus besteht darin, potenziell kritische Daten zu verschlüsseln und dann Geld für deren vollständige Entschlüsselung zu verlangen. Dabei verändert Proton die Dateien auch optisch – eine betroffene Datei mit Acquire kigatsu@tutanota.com E-Mail-Adresse, ID des Opfers und .Proton or .kigatsu Erweiterung zu verschlüsselten Dateien. Zum Beispiel eine Datei wie 1.pdf wird sich drehen, um so etwas auszusehen 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Nach dieser Änderung können Opfer nicht mehr auf ihre Dateien zugreifen, egal welche Änderungen vorgenommen werden. Danach lässt das Virus die README.txt Textnotiz, die Entschlüsselungsanweisungen enthält. Es heißt, die Daten des Opfers seien von Cyberkriminellen verschlüsselt (mithilfe von AES- und ECC-Algorithmen) und gestohlen worden. Das Wort „gestohlen“ deutet wahrscheinlich darauf hin, dass die verschlüsselten Daten auf die Server von Cyberkriminellen kopiert wurden und jederzeit missbraucht werden können, sofern das Lösegeld nicht gezahlt wird. Bedrohungsakteure ermutigen ihre Opfer, sich per Telegram oder E-Mail an sie zu wenden und den Entschlüsselungsdienst zu erwerben. Darüber hinaus ist es den Opfern auch gestattet, eine Datei (weniger als 1 MB) zu senden und diese kostenlos entschlüsseln zu lassen. Damit beweisen Cyberkriminelle ihre Vertrauenswürdigkeit und ihre Fähigkeit, den Zugriff auf die gesperrten Daten wiederherzustellen. Am Ende der Lösegeldforderung geben Erpresser einige Warnungen vor den Risiken an, die mit dem Versuch einhergehen, Dateien ohne die Hilfe von Ransomware-Entwicklern zu entschlüsseln.

Reload Ransomware ist eine Form von Malware, die es auf Einzelpersonen und Organisationen abgesehen hat, indem sie deren Dateien verschlüsselt und ein Lösegeld für die Entschlüsselungsschlüssel verlangt. Es ist Teil von Makop Ransomware Familie. Der Lösegeldschein beginnt normalerweise mit der Erklärung, dass alle Dateien verschlüsselt wurden und nun über das verfügen .reload Erweiterung angehängt. Die Ransomware verwendet robuste Verschlüsselungsalgorithmen, um die Dateien zu sperren, sodass sie ohne den entsprechenden Entschlüsselungsschlüssel nicht zugänglich sind. Der spezifische Verschlüsselungstyp, den Reload Ransomware verwendet, wird in den bereitgestellten Quellen nicht explizit erwähnt, aber Ransomware verwendet typischerweise AES- (Advanced Encryption Standard) oder RSA-Verschlüsselung, die beide sehr sicher und ohne den eindeutigen Entschlüsselungsschlüssel schwer zu knacken sind. Der von Reload Ransomware erstellte Lösegeldschein ist normalerweise eine Textdatei (+README-WARNING+.txt), die in Ordnern abgelegt wird, die verschlüsselte Dateien enthalten. In diesem Hinweis heißt es eindeutig, dass die Dateien verschlüsselt wurden, und es werden Anweisungen zur Zahlung des Lösegelds für die Wiederherstellung der Dateien gegeben. Die Notiz kann Details wie die Höhe des geforderten Lösegelds enthalten, normalerweise in Kryptowährungen wie Bitcoin, um die Anonymität der Transaktion zu gewährleisten.

CryptNet Ransomware ist eine Art von Malware, die Dateien auf infizierten Computern verschlüsselt und eine Lösegeldzahlung für den Entschlüsselungsschlüssel verlangt. Dabei handelt es sich um eine neue Ransomware-as-a-Service (RaaS), die im April 2023 auf den Markt kam und für ihre Effizienz bei der Dateiverschlüsselung bekannt ist. Die Ransomware ist in der Programmiersprache .NET geschrieben und wird mithilfe von .NET Reactor verschleiert, um einer Erkennung zu entgehen. Beim Verschlüsseln von Dateien hängt CryptNet eine zufällige fünfstellige Erweiterung an die ursprünglichen Dateinamen an, sodass sie leicht als von dieser spezifischen Ransomware kompromittiert identifiziert werden können. CryptNet verwendet eine Kombination aus 256-Bit-AES im CBC-Modus und 2048-Bit-RSA-Verschlüsselungsalgorithmen zum Sperren von Dateien. Diese doppelte Verschlüsselungsmethode stellt sicher, dass die Dateien sicher verschlüsselt sind und nicht ohne die eindeutigen Schlüssel der Angreifer entschlüsselt werden können. Nach der Verschlüsselung hinterlässt CryptNet einen Lösegeldschein mit dem Namen RESTORE-FILES-[random_string].txt auf dem Desktop des Opfers. Die Notiz informiert die Opfer über die Verschlüsselung und enthält Anweisungen zur Zahlung des Lösegelds für die Wiederherstellung der Dateien. Es enthält außerdem eine eindeutige Entschlüsselungs-ID und bietet möglicherweise einen kostenlosen Entschlüsselungstest an, um die Fähigkeit der Angreifer zu überprüfen, die Dateien zu entschlüsseln.

DoNex Ransomware ist eine Art bösartiger Software, die in die Kategorie der Ransomware fällt und darauf ausgelegt ist, Daten auf dem Computer eines Opfers zu verschlüsseln und so den Zugriff auf Dateien bis zur Zahlung eines Lösegelds unzugänglich zu machen. Diese spezielle Variante der Ransomware wurde von Forschern für Informationssicherheit als Bedrohung identifiziert, die Benutzerdaten verschlüsselt und eine Zahlung für die Möglichkeit der Entschlüsselung verlangt. DoNex hängt eine eindeutige Opfer-ID an die Dateierweiterungen verschlüsselter Dateien an. Beispielsweise eine Datei mit dem Namen myphoto.jpg würde in etwas wie umbenannt werden myphoto.jpg.5GlA66BK7 nach Verschlüsselung durch DoNex. Obwohl noch keine genauen Details über den von DoNex verwendeten Verschlüsselungsalgorithmus bekannt sind, verwendet Ransomware typischerweise starke kryptografische Algorithmen, entweder symmetrisch oder asymmetrisch, um Dateien zu sperren. DoNex hinterlässt einen Lösegeldschein mit dem Namen Readme.[Opfer_ID].txt auf dem Computer des Opfers, das Anweisungen zur Kontaktaufnahme mit den Angreifern, meist über einen bestimmten Kommunikationskanal wie Tox Messenger, und die Zahlungsaufforderungen enthält.

Nood Ransomware ist eine bösartige Software, die Dateien auf dem Computer eines Opfers verschlüsselt und sie ohne einen Entschlüsselungsschlüssel unzugänglich macht. Dieser Schlüssel befindet sich in der Regel im Besitz der Angreifer, die als Gegenleistung für die Freigabe ein Lösegeld verlangen. Das Verständnis der Mechanismen der NOOD-Ransomware, ihrer Infektionsmethoden, der Besonderheiten der verwendeten Verschlüsselung und der Möglichkeiten zur Entschlüsselung ist sowohl für die Prävention als auch für die Behebung von entscheidender Bedeutung. Sobald Nood Ransomware einen Computer infiziert, verschlüsselt es Dateien mithilfe hochentwickelter Verschlüsselungsalgorithmen. Ransomware dieser Art verwendet typischerweise eine starke asymmetrische Verschlüsselung, was eine unbefugte Entschlüsselung ohne den eindeutigen Schlüssel, den die Angreifer besitzen, äußerst schwierig macht. Verschlüsselte Dateien werden mit angehängt .nood Erweiterung, was ihre Unzugänglichkeit anzeigt. Nach Abschluss des Verschlüsselungsprozesses generiert Nood Ransomware eine Lösegeldforderung (_readme.txt), in dem die Opfer angewiesen werden, das Lösegeld zu zahlen, um möglicherweise ihre Dateien wiederherzustellen. Der Hinweis enthält typischerweise Zahlungsanweisungen, in der Regel eine Zahlung in Bitcoin, und betont die Dringlichkeit der Zahlung, um den Entschlüsselungsschlüssel abzurufen.

Duralock Ransomware ist eine Art bösartiger Software, die von Informationssicherheitsforschern als erhebliche Bedrohung eingestuft wird. Es gehört zur MedusaLocker-Ransomware-Familie und wurde entwickelt, um Daten auf infizierten Computern zu verschlüsseln und Dateien für Benutzer unzugänglich zu machen. Sobald ein Computer infiziert ist, verschlüsselt Duralock die Dateien des Benutzers und hängt eine eindeutige Erweiterung an. .duralock05, zu den Dateinamen. Dadurch werden die Dateien als verschlüsselt gekennzeichnet und verhindert, dass Benutzer ohne den Entschlüsselungsschlüssel auf ihre Inhalte zugreifen. Duralock Ransomware erstellt einen Erpresserbrief mit dem Namen HOW_TO_BACK_FILES.html auf dem infizierten Computer. Diese Notiz enthält in der Regel Anweisungen für das Opfer, wie es den Angreifern ein Lösegeld im Austausch für den Entschlüsselungsschlüssel zahlen kann, der zum Entsperren der verschlüsselten Dateien erforderlich ist. In diesem Artikel werden Entfernungsmethoden, Entfernungstools und mögliche Wege zum Entschlüsseln verschlüsselter Dateien beschrieben, ohne mit Übeltätern zu verhandeln.

RSA-4096-Ransomware ist eine Variante der Xorist-Ransomware-Familie, die dafür bekannt ist, die Daten der Opfer zu verschlüsseln und ein Lösegeld für den Entschlüsselungsschlüssel zu verlangen. Diese spezielle Sorte verwendet den Verschlüsselungsalgorithmus RSA-4096, der Teil der asymmetrischen RSA-Verschlüsselung mit einer Schlüsselgröße von 4096 Bit ist, was ihn sehr sicher und schwer zu knacken macht. Wenn RSA-4096-Ransomware Dateien verschlüsselt, hängt sie an .RSA-4096 Erweiterung der Dateinamen. Beispielsweise eine Datei mit dem ursprünglichen Namen 1.jpg würde umbenannt in 1.jpg.RSA-4096. Nach dem Verschlüsseln von Dateien hinterlässt die RSA-4096-Ransomware einen Lösegeldschein mit dem Titel „ HOW TO DECRYPT FILES.txt auf dem Desktop des Opfers oder in verschlüsselten Verzeichnissen. In diesem Hinweis wird erläutert, dass die Dateien verschlüsselt wurden, und es werden Anweisungen zur Zahlung des Lösegelds für den Erhalt des Entschlüsselungsschlüssels gegeben. Opfer werden angewiesen, innerhalb von 2 Stunden 124,000 BTC (etwa 48 US-Dollar zum Zeitpunkt des Schreibens) für den Entschlüsselungsschlüssel zu zahlen. Allerdings garantiert die Zahlung keine Dateiwiederherstellung und durch die Entfernung der Ransomware werden die Dateien nicht entschlüsselt. Die einzige zuverlässige Wiederherstellungsmethode sind Backups.

Payuranson Ransomware ist eine Art von Malware, die zur Skynet-Ransomware-Familie gehört. Bei erfolgreicher Infiltration initiiert Payuranson Ransomware eine ausgefeilte Verschlüsselungsroutine. Typischerweise zielt es auf ein breites Spektrum an Dateitypen ab, darunter Dokumente, Bilder, Videos und Datenbanken, um die Wirkung des Angriffs zu maximieren. Die Ransomware fügt normalerweise eine bestimmte Dateierweiterung an verschlüsselte Dateien an .payuranson, was als klarer Indikator für eine Infektion dient. Der von Payuranson Ransomware verwendete Verschlüsselungsalgorithmus ist häufig fortschrittlich und verwendet Kombinationen aus RSA- und AES-Verschlüsselungsmethoden. Hierbei handelt es sich um kryptografische Algorithmen, die für ihre Robustheit bekannt sind und eine unbefugte Entschlüsselung ohne den eindeutigen Entschlüsselungsschlüssel im Besitz der Angreifer äußerst schwierig machen. Nach dem Verschlüsselungsprozess generiert Payuranson Ransomware einen Lösegeldschein, üblicherweise mit dem Namen „ SkynetData.txt oder eine ähnliche Variante, und legt es in jedem Ordner ab, der verschlüsselte Dateien enthält. Dieser Hinweis enthält Anweisungen dazu, wie man die Angreifer kontaktieren kann, normalerweise per E-Mail oder über eine Tor-basierte Zahlungsseite, und die Höhe des geforderten Lösegelds, oft in Kryptowährungen wie Bitcoin. Die Notiz kann auch Drohungen mit der Löschung oder Offenlegung von Daten enthalten, um die Opfer zur Zahlung des Lösegelds zu zwingen.