Ransomware

Cat4er ist ein Ransomware-Virus, der bei der Infektion des Zielsystems eine Datenverschlüsselung auslöst. Dies geschieht durch die Zuweisung der .cat4er Erweiterung, um verschlüsselte Dateien aussehen zu lassen 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4er, und so weiter, abhängig vom ursprünglichen Namen. Nach dem Ausführen solcher Änderungen erstellt der Virus eine HTML-Datei mit dem Namen HOW_FIX_FILES.htm und dazu gedacht, die Opfer durch den Entschlüsselungsprozess zu führen. Wie in der HTML-Notiz angegeben, können Opfer wieder auf alle blockierten Daten zugreifen, indem sie auf den beigefügten TOR-Link gehen und den Anweisungen zum Kauf spezieller Entschlüsselungssoftware folgen. Die Opfer haben 10 Tage Zeit, um sich für die Zahlung des Lösegelds im Wert von 0.08 BTC zu entscheiden – etwa 3300 $ zum Zeitpunkt des Schreibens dieses Artikels. Nachdem die Zahlung erfolgt ist, versprechen Cyberkriminelle, die deklarierten Tools zu senden, mit denen die Dateien entschlüsselt werden können. Leider sind Ransomware-Akteure die einzigen Personen, die über die notwendigen Schlüssel zum Entsperren Ihrer Daten verfügen. Diese Schlüssel sind oft stark gesichert und mit Hilfe von Tools von Drittanbietern fast unmöglich zu knacken.

Neuer Exploit ist ein Ransomware-Virus, der entwickelt wurde, um auf dem PC gespeicherte Daten zu verschlüsseln und die Opfer zu erpressen, das sogenannte Lösegeld zu zahlen. Eine erfolgreiche Verschlüsselung wird gerechtfertigt, nachdem Newexploit die Dateierweiterungen in geändert hat .exploit. Zum Beispiel eine Datei wie 1.pdf wird sein ursprüngliches Symbol fallen lassen und zu ändern 1.pdf.exploit. Infolgedessen verlieren Benutzer ihren Zugriff auf Dateien, was bedeutet, dass sie sie nicht mehr lesen oder bearbeiten können. Um das Problem zu beheben, bietet Newexploit seinen Opfern an, den Anweisungen zu folgen, die in einer Textnotiz (WIEDERHERSTELLUNGSINFORMATION.txt). Diese Notiz wird unmittelbar nach erfolgreicher Verschlüsselung erstellt und enthält Informationen zur Wiederherstellung der Daten.

Als Teil der Phobos-Familie Elbi ist eine Ransomware-Infektion, die entwickelt wurde, um Gewinne für ihre Entwickler zu generieren, indem Geld von den Opfern erpresst wird. Dies geschieht direkt nach dem Verschlüsseln von Daten und dem Anhängen neuer Dateierweiterungen. Zum Beispiel eine Datei mit dem Namen 1.pdf wird sich in sowas ändern 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie und auch sein ursprüngliches Symbol zurücksetzen. Das von Cyberkriminellen verwendete Muster zum Umbenennen von Dateien ist original_filename.[victim's ID].[antich154@privatemail.com].Elbie. Nachdem alle visuellen Änderungen angewendet wurden, erstellt der Virus zwei Lösegeldforderungen namens info.hta und info.txt. Beide enthalten kurze und umfassendere Anweisungen zur Rückgabe der gesperrten Daten.

Riegel ist ein Ransomware-Virus, der QNAP- und NAS-Geräte hackt, indem Schwachstellen verwendet werden, um die gespeicherten Daten zu verschlüsseln. Es passiert sofort, dass Benutzer den Prozess nicht verhindern und ihre Dateien vor starker Verschlüsselung schützen können. Nach der Verbreitung entführt der Virus den QNAP-Anmeldebildschirm, um eine Lösegeldforderung zu präsentieren, in der die Opfer aufgefordert werden, für die Entschlüsselung zu bezahlen. Dadurch wird beispielsweise verhindert, dass infizierte Benutzer über den Protokollbildschirm hinaus auf ihre Admin-Seite zugreifen können. QNAP stellte jedoch fest, dass dies durch die Verwendung der folgenden URLs umgangen werden kann: http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. Darüber hinaus sind alle Lösegeldnotiz-Popups auch in einer einzigen HTML-Datei namens enthalten index.html_deadlock.txt. DeadBolt weist auch das neue zu .Riegel Erweiterung auf alle betroffenen Daten innerhalb eines Systems. Zur Veranschaulichung eine Datei wie 1.pdf wird ändern zu 1.pdf.deadbolt völlig unzugänglich werden. Dasselbe passiert mit allen von DeadBolt Ransomware verschlüsselten Dateien. Sie können die Liste aller Dateierweiterungen erweitern, auf die diese Ransomware-Variante abzielt:

Unterstützen Sie die Entschlüsselung wurde als Ransomware-Infektion eingestuft. Dadurch ist es in der Lage, persönliche Daten zu verschlüsseln und für deren Rückgabe Geld zu verlangen. Während der Verschlüsselung erfahren alle kompromittierten Dateien visuelle Veränderungen – der Virus hängt an .asistchinadecryption zusammen mit einer Opfer-ID zu den ursprünglichen Dateinamen. Zum Beispiel eine Datei wie 1.pdf wird geändert in 1.pdf.asistchinadecryption.C04-41D-05E und setzen Sie das ursprüngliche Symbol zurück. Dasselbe gilt für alle anderen Daten, die sich nur mit den IDs pro Opfer unterscheiden. Der Dateiverschlüsseler erstellt auch eine Datei mit dem Namen !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Dies ist eine Lösegeldforderung, die den Opfern Schritte zur Wiederherstellung der Dateien geben soll.

White Rabbit wird als Ransomware-Programm klassifiziert, das Daten verschlüsselt, um Geld für deren Rückgabe zu verlangen. Es wurde von Michael Gillespie entdeckt – einem beliebten Malware-Forscher, der sich auf Ransomware-Infektionen spezialisiert hat. Beim Verschlüsseln aller wichtigen Daten, die auf einem System gespeichert sind, hängt der Virus a .scrypt Erweiterung am Ende jeder Datei. Zum Beispiel ein Beispiel namens 1.pdf wird ändern zu 1.pdf.scrypt und setzen Sie das ursprüngliche Symbol zurück. Darüber hinaus erhalten alle blockierten Dateien ihre Lösegeldforderungsdateien mit eindeutigen Verschlüsselungsschlüsseln. 1.pdf.scrypt wird bekommen 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, und so weiter.

WaspLocker ist eine ziemlich verheerende Virusinfektion, die persönliche Daten mit starken kryptografischen Algorithmen verschlüsselt. Dadurch soll sichergestellt werden, dass Benutzer ihre Daten nicht ohne die Hilfe von Cyberkriminellen zurückgeben können. Leider verlangen Cyberkriminelle von ihren Opfern 0.5 BTC, was unerträglich hoch ist. Benutzer, die von WaspLocker angegriffen werden, erhalten diese Informationen in einer Textnotiz namens So stellen Sie Ihre files.txt wieder her und ein separates Popup-Fenster mit Anweisungen zum Wiederherstellen blockierter Dateien. Darüber hinaus heben die WaspLocker-Entwickler die Datenverschlüsselung hervor, indem sie neue Erweiterungen anhängen (.locked or .0.locked) und Symbole von Dateien zurücksetzen. Zum Beispiel eine Datei wie 1.pdf wird sich ändern 1.pdf.locked or 1.pdf.0.locked abhängig davon, welche WaspLocker-Version Ihr System infiziert hat.

KMA47 wurde nur zu dem Zweck entwickelt, persönliche Daten zu verschlüsseln und Geld für deren Rückgabe zu verlangen. Ein solcher Virus fällt in die Kategorie der Ransomware-Infektionen mit hohem Risiko. Der Prozess der Datenverschlüsselung beginnt mit dem Hinzufügen von neuen .Verschlüsseln Erweiterung am Ende von blockierten Dateien und endet mit der Erstellung von read_me.txt - eine Lösegeldforderung mit Anweisungen zur Wiederherstellung der Dateien. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.encrypt und sein Symbol zurücksetzen. KMA47 ändert auch die Hintergrundbilder der Opfer. Die Notiz besagt, dass sie von dem Virus gehackt wurde, was zu einer vollständigen Datenverschlüsselung führte. Um das Problem zu beheben, werden die Opfer dazu angeleitet, Cyberkriminelle per E-Mail-Kommunikation zu kontaktieren (manager@mailtemp.ch or helprestoremanager@airmail.cc) und schließlich ein Lösegeld von 100 $ zahlen. Nach dem Senden des Geldes sollten Ransomware-Entwickler Ihren privaten Schlüssel und eine spezielle Entschlüsselungssoftware senden, um die Daten zu entsperren. Obwohl Cyberkriminelle möglicherweise die einzigen Personen sind, die Ihre Daten vollständig entschlüsseln können, garantiert die Zahlung des Lösegelds nicht immer, dass Sie es letztendlich erhalten. Leider ist eine manuelle Entschlüsselung aufgrund starker Algorithmen und der Online-Speicherung von Schlüsseln auch weniger wahrscheinlich. Sie können es mit Entschlüsselern von Drittanbietern versuchen, es sei denn, Sie haben Sicherungskopien zur Verfügung. Wenn Sie überflüssige Dateien in der sicheren Cloud oder auf einem physischen Speicher gespeichert haben, kopieren Sie sie zurück und vermeiden Sie die Zahlung des Lösegelds.