Ransomware

Aua ist ein gefährlicher Virus, der eine Datenverschlüsselung mit kryptografischen Chiffren ausführt, um den Zugriff von Opfern zu verhindern. Diese Art von Infektion wird als Ransomware klassifiziert und zielt darauf ab, ihre Opfer dazu zu bringen, Geld für die Entschlüsselung zu senden. Um zu zeigen, dass auf einem PC gespeicherte Dateien verschlüsselt wurden, weist der Virus einen eigenen zu .eeee Erweiterung mit Zeichenfolgen aus Zufallssymbolen, die für jede verschlüsselte Probe eindeutig generiert werden. Zum Beispiel eine Datei wie 1.pdf wird vor einer Änderung stehen 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee oder ähnlich mit anderen Symbolen. Verschlüsselte Dateien werden für jeden Zugriff gesperrt und ihre Symbole werden ebenfalls auf leer zurückgesetzt. Fast unmittelbar nach der Verschlüsselung erstellt Eeyee die 6pZZ_HOW_TO_DECRYPT.txt Textnotiz mit Lösegeldanweisungen. Die Notiz soll die Opfer über die Änderungen informieren und sie durch den Wiederherstellungsprozess führen. Cyberkriminelle sagen, dass es zwingend erforderlich ist, eine spezielle Entschlüsselungssoftware zu kaufen, um die Dateien zurückzugeben und ein Durchsickern der kompromittierten Daten zu verhindern. Die Opfer werden angewiesen, die Betrüger über den Onion-Link im Tor-Browser zu kontaktieren. Nach Abschluss dieser Schritte werden sich die Opfer mit den Entwicklern in Verbindung setzen und weitere Details zum Kauf der Tools erfahren. Der Hinweis enthält auch einige Hinweise, die darauf hinweisen, Daten nicht zu ändern oder Dritte (FBI, Polizei, Bergungsunternehmen usw.) um Hilfe zu bitten.

Du musst bezahlen ist eine Art von Virus, die als Ransomware kategorisiert wird. Es funktioniert, indem es persönliche Dateien verschlüsselt und Geld für deren Rückgabe verlangt. Während dieses Vorgangs weist Ransomware die .du musst bezahlen Erweiterung auf alle gesperrten Daten. Zum Beispiel eine Datei wie 1.pdf wird geändert in 1.pdf.youneedtopay und setzen Sie das ursprüngliche Symbol zurück. Nach dem Anhängen dieser Änderungen erstellt der Virus eine Textnotiz namens READ_THIS.txt die Entschlüsselungsanweisungen erklären soll. Desktop-Hintergründe werden ebenfalls geändert. Schauen Sie sich die Inhalte dort genauer an.

Admin-Schließfach ist der Name eines Ransomware-Virus, dessen Verbreitung im Dezember 2021 begann. Es verwendet eine Kombination von AES+RSA-Algorithmen, um sichere kryptografische Verschlüsselungen über die gespeicherten Daten zu schreiben. Dies wirkt sich auf den Zugriff auf Dateien und deren visuelles Erscheinungsbild aus. Admin Locker fügt allen gesperrten Daten eine der folgenden Erweiterungen hinzu: .admin1, .admin2, .admin3, .1admin, .2admin, oder .3admin. Es spielt keine Rolle, welche davon auf Sie angewendet wurde. Ihre einzige Funktion besteht darin, zu zeigen, dass Dateien verschlüsselt wurden, und Opfern zu zeigen, dass sie es sehen. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.1admin (oder andere Erweiterung) und werden nicht mehr zugänglich. Nachdem die Verschlüsselung abgeschlossen ist, erklärt Admin Locker in seiner Textnotiz (!!!Recovery File.txt) und auf seiner Webseite, auf die über den TOR-Link zugegriffen werden kann, wie man die Daten wiederherstellt.

Noway ist eine Ransomware-Infektion, die alle wichtigen Daten mit AES-256-Algorithmen verschlüsselt. Es benennt auch die blockierten Daten mit zufällig generierten Symbolen um und .auf keinen Fall Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird ändern zu 611hbRZBWdCCTALKlx.noway und verliert bei erfolgreicher Verschlüsselung sein ursprüngliches Symbol. In der Regel können die meisten mit Ransomware verschlüsselten Dateien nicht ohne die Hilfe von Cyberkriminellen entschlüsselt werden. Trotzdem ist Noway Ransomware eine der wenigen, die offiziell mit dem Emisoft-Tool kostenlos entschlüsselt werden kann. Sie können es weiter unten in unserem Leitfaden herunterladen. Wir empfehlen Ihnen, den Entschlüsselungsprozess nicht zu überstürzen, da Sie zuerst den Virus löschen müssen (auch in diesem Tutorial beschrieben). Zusätzlich zur Verschlüsselung personenbezogener Daten gibt Noway eine Textnotiz namens . aus Entsperren Sie Ihre Datei Intraction.txt. Der Hinweis zeigt, wie Sie Ihre Daten mit Hilfe von Ransomware-Entwicklern wiederherstellen können. Die Gauner geben 72 Stunden Zeit für die Entscheidung, das Lösegeld zu zahlen. Sollten Opfer diese Zahlungsfrist überschreiten, behaupten Betrüger, dass Ihre Daten für immer unzugänglich werden. Dies ist nicht wahr, da es Emisoft-Entwicklern gelungen ist, die Chiffren zu knacken und den Opfern dabei zu helfen, Dateien von Noway kostenlos zu entschlüsseln.

RL Wana-XD ist eine Ransomware-Infektion, die wichtige auf einem PC gespeicherte Daten verschlüsselt. Um es hervorzuheben, macht der Virus seine eigene Werbung .XD-99 Erweiterung auf alle betroffenen Dateinamen. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.XD-99 und setzen Sie das ursprüngliche Symbol zurück. Infolgedessen können Opfer nicht mehr auf die Datei zugreifen und ihren Inhalt durchsuchen. Um diese Auswirkungen rückgängig zu machen, bieten die Entwickler von RL Wana-XD ihren Opfern an, spezielle Entschlüsselungsanweisungen in einer Textnotiz zu lesen (Readme.txt). Die Textnotiz ist kurz, aber spezifisch - Entwickler behaupten, dass die einzige Möglichkeit, Ihre Daten zurückzugeben, darin besteht, für eine einzigartige Entschlüsselungssoftware und einen Schlüssel zu bezahlen. Um dies zu tun, werden die Opfer angeleitet, die Betrüger durch zu kontaktieren Wana-XD@bk.ru or RL000@protonmail.ch E-mailadressen. Leider sind Schlüssel, die von RL Wana-XD Ransomware zum Verschlüsseln Ihrer Daten verwendet werden, oft sicher und werden im ONLINE-Modus gespeichert. Das bedeutet, dass eine manuelle Entschlüsselung mit Hilfe von Drittanbietertools wahrscheinlich keine Früchte trägt oder nur einen Teil der Daten entschlüsseln kann. Wenn Ihre persönliche ID nicht auf t1 endet, wird die Entschlüsselung durch Drittanbieter weniger wahrscheinlich helfen. Gleichzeitig ist das Bezahlen von Cyberkriminellen immer mit Risiken verbunden, da sie ihre Opfer täuschen können und keine versprochene Entschlüsselung senden.

Razer ist der Name einer Ransomware-Infektion, die Daten verschlüsselt und Opfer auffordert, Geld für die Rückgabe zu zahlen. Benutzer, die mit diesem Virus infiziert sind, sehen ihre Dateinamen geändert mit einer zufälligen Zeichenfolge, E-Mail-Adresse der Cyberkriminellen (razer1115@goat.si), Und .razer Verlängerung am Ende. Zum Beispiel eine Datei namens 1.pdf die diese Änderungen durchgemacht haben, werden in etwa so aussehen 1.pdf.[42990E91].[razer1115@goat.si].razer und setzen Sie das Symbol auf leer. Um die Daten zu entschlüsseln, bieten Virenentwickler an, ihren Anweisungen in der readme-warning.txt Textnotiz. Es heißt, Opfer sollten die Betrüger über eine der E-Mails kontaktieren (razer1115@goat.si, pecunia0318@tutanota.com, oder pecunia0318@goat.si) und zahlen Sie das Lösegeld in Bitcoins. Um Opfer von ihrer Verlässlichkeit zu überzeugen, bieten Cyberkriminelle die sogenannte Garantieoption an, bei der Opfer 2 Dateien mit einfachen Erweiterungen (max. 1 MB) senden und kostenlos entschlüsselt erhalten. Viele Ersteller von Ransomware verwenden diesen Trick, um die Opfer dazu zu bringen, das Lösegeld zu zahlen und mit ihnen in Kontakt zu bleiben. Wir empfehlen Ihnen dringend, den Anforderungen der Entwickler nicht nachzukommen und Ihre Daten stattdessen mithilfe eines Backups wiederherzustellen.

Entdeckt von einem Malware-Forscher namens S!Ri, nachtr ist ein Ransomware-Programm, das entwickelt wurde, um verschiedene Arten von personenbezogenen Daten zu verschlüsseln. Es ist immer üblich, beliebte Dateien wie Musik, Fotos und Dokumente zu sehen, die von einem Virenangriff betroffen sind. Surtr verwendet die E-Mail der Cyberkriminellen (DecryptMyData@mailfence.com) und .SURT Erweiterung, um alle blockierten Daten umzubenennen. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.[DecryptMyData@mailfence.com].SURT und setzen Sie das ursprüngliche Symbol auf leer zurück. Die gleiche Änderung wird auf andere Daten angewendet, die die Verschlüsselung durchlaufen haben. Darüber hinaus werden bei erfolgreicher Verschlüsselung auch zwei Dateien erstellt - eine Textnotiz namens SURTR_README.txt und SURTR_README.hta dass es dazu gedacht ist, ein Popup-Fenster zu öffnen. Beide Dateien werden verwendet, um Ransomware-Anweisungen für die Opfer bereitzustellen. Sie können sich deren Inhalt hier unten genauer ansehen:

Ein Teil der Dharma-Ransomware-Familie, Dr ist ein weiterer Dateiverschlüsseler, der den Zugriff auf Daten blockiert und seine Opfer auffordert, Geld für die Rückgabe zu zahlen. Sobald die Verschlüsselung in Kraft tritt, werden alle auf einem System gespeicherten Dateien mit der eindeutigen ID der Opfer, der E-Mail-Adresse der Entwickler und .DR Verlängerung. Eine betroffene Probe wie 1.pdf wird sich in so etwas verwandeln 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dr, und so weiter mit anderen Arten von verschlüsselten Daten. Die einzigen variablen Informationen sind die IDs der Opfer, daher sind sie höchstwahrscheinlich für jeden infizierten Benutzer unterschiedlich. Nach erfolgreicher Verschlüsselung erstellt der Virus eine Textnotiz namens FILES ENCRYPTED.txt. Es öffnet auch ein Popup-Fenster mit denselben Lösegeldanweisungen wie in der Notiz. Die Opfer werden angewiesen, sich per E-Mail an Erpresser zu wenden. Ihre E-Mail-Adresse ist auch in der neuen Erweiterung sichtbar, die zu den gesperrten Daten hinzugefügt wird. Falls Entwickler nicht innerhalb von 12 Stunden antworten, sollten die Opfer an eine andere in der Notiz angegebene E-Mail schreiben. Darüber hinaus warnen die Gauner hinter Dr. Ransomware ihre Opfer auch davor, Dateien umzubenennen oder Tools von Drittanbietern zu verwenden, um sie zu entschlüsseln. Es gibt auch keine Informationen darüber, wie viel Opfer für die Entschlüsselung ihrer Daten zahlen sollten, da dies bei der Kontaktaufnahme mit den Betrügern bekannt wird.