Ransomware

BLAUES SCHLOSS ist eine hochriskante Infektion, die als Ransomware eingestuft wird. Sein Hauptzweck besteht darin, nach erfolgreicher Verschlüsselung personenbezogener Daten Geld von Opfern zu erpressen. Es weist das neue zu .Blau Erweiterung und gibt eine Textnotiz namens . aus Wiederherstellungsdatei.txt Opfer durch den Genesungsprozess zu führen. Dies bedeutet eine Datei wie 1.pdf wird geändert in 1.pdf.blue und setzen Sie das ursprüngliche Symbol zurück. Der Text in der Notiz ähnelt anderen Ransomware-Infektionen. Alle Dateien sollen verschlüsselt, Backups gelöscht und auf den Server der Cyberkriminellen kopiert worden sein. Um den Schaden rückgängig zu machen und mit voll funktionsfähigen Dateien zu einem normalen Erlebnis zurückzukehren, sollten Opfer einen universellen Entschlüsseler kaufen, der von Malware-Entwicklern gehalten wird. Wenn Sie sich entscheiden, die Anfragen von Cyberkriminellen zu ignorieren, werden Ihre Dateien auf Dark-Web-Ressourcen gelöscht. Bei der Kontaktaufnahme mit Entwicklern zur Entschlüsselung wird angeboten, 1 Datei zu senden, damit sie sie kostenlos entsperren können. Die Kommunikation zwischen Opfern und Cyberkriminellen soll über E-Mail-Methoden (grepmord@protonmail.com) hergestellt werden. Nach Kontaktaufnahme erhalten die Opfer weitere Anweisungen zur Zahlung und zum Erwerb der Entschlüsselungssoftware.

Aus Italien stammend, julianisch ist ein Ransomware-artiges Programm, das mit starken kryptografischen Algorithmen (AES-256) eingerichtet ist, um eine sichere Verschlüsselung von Daten durchzuführen. Beim Sperren des Zugriffs auf persönliche Dateien versuchen Erpresser, die Opfer dazu zu verleiten, Geld für die Entschlüsselung von Daten zu zahlen. Opfer können einfach anhand der Erweiterung erkennen, dass ihre Dateien verschlüsselt wurden - der Virus hängt die neue Erweiterung ".Giuliano" an, um die blockierten Daten hervorzuheben. Dies bedeutet eine Datei wie 1.pdf wird ändern zu 1.pdf.Giuliano und setzen Sie das ursprüngliche Symbol zurück. Informationen zur Dateiwiederherstellung finden Sie in einer Textnotiz namens README.txt. Entschlüsselungsanweisungen in dieser Datei sind in italienischer Sprache dargestellt. Cyberkriminelle informieren die Opfer über eine erfolgreiche Infektion und ermutigen sie, die aufgeführten Anweisungen zu befolgen. Sie sagen, Sie sollten eine GitHub-Seite besuchen, um einige Formulare auszufüllen. Danach werden sich Malware-Entwickler wahrscheinlich mit ihren Opfern in Verbindung setzen und um Lösegeld bitten. Normalerweise wird verlangt, dass die Zahlung in BTC oder einer anderen von Entwicklern verwendeten Kryptowährung ausgeführt wird. Leider sind die von Giuliano Ransomware verwendeten Verschlüsselungen stark und mit Tools von Drittanbietern kaum entschlüsselbar. Abgesehen von der Zusammenarbeit mit Betrügern ist der beste Weg, Ihre Dateien wiederherzustellen, derzeit die Verwendung von Sicherungskopien.

Da es sich um einen gefährlichen Ransomware-Virus handelt, Turm zielt auf die Datenverschlüsselung ab und versucht, Benutzer zur Zahlung des Lösegelds zu erpressen. Der Virus ist leicht von anderen Versionen zu unterscheiden, da er die .Turm Erweiterung auf alle gesperrten Daten. Dies bedeutet eine Datei wie 1.pdf wird ändern zu 1.pdf.rook und setzen Sie das ursprüngliche Symbol nach erfolgreicher Verschlüsselung zurück. Direkt danach erstellt Rook Ransomware eine Textnotiz namens HowToRestoreYourFiles.txt Benutzern zeigen, wie sie die Daten wiederherstellen können. Der Inhalt der Textnotiz besagt, dass Sie den Zugriff auf die gesamten Daten nur durch Kontaktaufnahme mit Betrügern und Zahlung des Lösegelds wiederherstellen können. Die Kommunikation sollte per E-Mail (rook@onionmail.org; securityRook@onionmail.org) oder TOR-Browser-Link, der an die Notiz angehängt ist. Beim Schreiben einer Nachricht an Cyberkriminelle wird den Opfern angeboten, bis zu 3 Dateien (nicht mehr als 1 MB) zu senden und diese kostenlos entschlüsseln zu lassen. Auf diese Weise beweisen Cyberkriminelle Entschlüsselungsfähigkeiten und ihre Vertrauenswürdigkeit bis zu einem gewissen Grad. Wenn Sie sich innerhalb der angegebenen 3 Tage an Erpresser wenden, gewähren Cyberkriminelle einen Rabatt von 50% auf den Preis der Entschlüsselung. Wenn Sie diese Frist nicht einhalten, werden die Rook-Entwickler Ihre Dateien an ihr Netzwerk weitergeben, um sie anschließend auf Darknet-Seiten zu missbrauchen. Sie sagen auch, dass Ihnen keine Instrumente von Drittanbietern helfen werden, die Dateien wiederherzustellen.

HarpuneSchließfach ist der Name einer kürzlich von Benutzern in Malware-Foren gemeldeten Ransomware-Infektion. Der Virus führt eine Verschlüsselung von Daten mit den Algorithmen AES-256 und RSA-1024 durch, wodurch alle eingeschränkten Daten kryptografisch gesichert werden. Aufgrund dieser Konfigurationsänderung können Benutzer nicht mehr auf ihre eigenen Daten zugreifen, die auf infizierten Geräten gespeichert sind. HarpoonLocker weist die .gesperrt Erweiterung, die häufig von vielen anderen Ransomware-Infektionen verwendet wird. Dies macht es allgemeiner und manchmal schwer, sich von anderen Infektionen wie dieser zu unterscheiden. Es erstellt auch eine Textnotiz (Restore-Dateien.txt) mit Anweisungen zum Lösegeld. Entwickler sagen, dass alle Daten verschlüsselt und an ihre Server durchgesickert sind. Die einzige Möglichkeit, dies rückgängig zu machen und Dateien sicher zurückzubekommen, besteht darin, der Zahlung des Lösegelds zuzustimmen. Opfer werden angewiesen, den qTOX-Messenger herunterzuladen und dort Erpresser zu kontaktieren. Es gibt auch die Möglichkeit, die Entschlüsselung von 3 blockierten Dateien kostenlos zu versuchen. Dies ist eine Garantie von Cyberkriminellen, um zu beweisen, dass man ihnen vertrauen kann. Leider gibt es außer qTOX keine weiteren Kontakte, über die Opfer mit Cyberkriminellen ins Gespräch kommen könnten. Viele Cyberforscher scherzten, dass HarpoonLocker auch Unbenannt qTOX Ransomware heißen sollte, da es niemanden gibt, mit dem Opfer sprechen können. Aus diesem und vielen anderen Gründen wird dringend davon abgeraten, die aufgeführten Anforderungen zu erfüllen und das Lösegeld zu zahlen. Ziemlich oft täuschen Cyberkriminelle ihre Opfer und senden auch nach Erhalt des Geldes keine Entschlüsselungstools.

Zuerst von einem unabhängigen Experten namens S!R! gefunden und recherchiert, NoCry ist ein Ransomware-Programm, das entwickelt wurde, um die Datenverschlüsselung auszuführen. Es ist ein sehr beliebtes Schema, das von Ransomware-Entwicklern eingesetzt wird, um bei erfolgreicher Datenbeschränkung Geld von Opfern zu erpressen. Derzeit gibt es zwei bekannte Versionen von NoCry, die sich durch Erweiterungen unterscheiden, die blockierten Daten zugewiesen sind. Es ist entweder .Cry or .IHA Erweiterung, die an verschlüsselte Dateien angehängt wird. Zum Beispiel, 1.pdf wird sein Aussehen ändern zu 1.pdf.Cry or 1.pdf.IHA und setzen Sie das Verknüpfungssymbol auf leer, nachdem Sie von Malware betroffen sind. Erpresser hinter NoCry Ransomware fordern eine Zahlung für die Rückgabe der Daten über eine HTML-Datei namens So entschlüsseln Sie meine Dateien.html. Es öffnet auch ein Popup-Fenster, mit dem die Opfer interagieren können, um das Lösegeld zu senden und ihre Daten zu entschlüsseln. Die Inhalte beider sind identisch und informieren die Opfer darüber. NoCry gibt etwa 72 Stunden Zeit, um 100 $ in BTC an die angehängte Krypto-Adresse zu senden. Wenn innerhalb der zugewiesenen Zeitleiste kein Geld geliefert wird, löscht NoCry Ihre Dateien für immer. Dies ist eine Einschüchterungsstrategie, die die Opfer beeilen und das geforderte Lösegeld schneller bezahlen soll.

Lösegeld jetzt ist ein weiterer Dateiverschlüsselungsvirus, der von Cyberkriminellen ausgegeben wird, um Geld von verzweifelten Opfern zu erpressen. Es ist dem bereits besprochenen sehr ähnlich Polaris-Ransomware da es das gleiche Verschlüsselungsmuster mit AES- und RSA-Algorithmen ausführt. Eine weitere Gemeinsamkeit dieser Ransomware-Angriffe besteht darin, dass sie den verschlüsselten Daten keine neue Erweiterung hinzufügen. Obwohl Dateien keine signifikanten visuellen Änderungen erfahren, können Benutzer sie dennoch nicht öffnen. Der Virus erstellt auch eine Textdatei namens README ZUM ENTSPERREN VON FILES.txt die Entschlüsselungsanweisungen enthält. Entwickler sagen, dass Opfer die Daten nur durch den Kauf eines speziellen Schlüssels wiederherstellen können. Der zu zahlende Preis beträgt 0.0044 BTC, was zum Zeitpunkt der Erstellung dieses Artikels etwa 250 $ entspricht. Denken Sie daran, dass sich die Kurse für Kryptowährungen immer ändern, sodass Sie möglicherweise auch morgen mehr oder weniger bezahlen müssen. Nach dem Senden der erforderlichen BTC-Menge sollten Benutzer den Transaktionsnachweis an die angehängte E-Mail-Adresse (ransomnow@yandex.ru) senden. Darüber hinaus listen Gauner einige Ressourcen auf, wo Sie die erforderliche Kryptowährung kaufen können, wenn Sie neu in der Kryptowelt sind. Es wird auch dringend davor gewarnt, selbst oder mit Hilfe von Tools von Drittanbietern Manipulationen an Dateien vorzunehmen.

Decaf wird als Ransomware-Programm kategorisiert, das Opfer erpressen soll, Geld für die Wiederherstellung blockierter Daten zu zahlen. Die ersten Angriffe wurden Anfang November 2021 registriert und finden weiterhin über mehrere Benutzer hinweg statt. Der Virus verwendet eine eigene Erweiterung namens .entkoffeinierter Kaffee die bei der Verschlüsselung vergeben wird. Ein Beispiel dafür, wie verschlüsselte Dateien nach der Verschlüsselung aussehen würden, ist diese "1.pdf.decaf". Es ist unmöglich, die Infektion zu blinken, da alle Dateien auch ihre Zugänglichkeit und Symbole verlieren. Nach erfolgreicher Installation von kryptografischen Chiffren erstellt Decaf eine Textnotiz mit dem Namen README.txt die Informationen zum Wiederherstellen Ihrer Daten enthält. Cyberkriminelle sagen, dass alle Server- und PC-Daten mit starken Algorithmen verschlüsselt wurden, die eine Entschlüsselung durch Dritte verhindern. Die einzige Möglichkeit, den Zugriff auf die gesamten Daten wiederherzustellen, besteht darin, einen speziellen "universellen" Entschlüsseler zu verwenden, der von den Erpressern gespeichert wurde. Um weitere Anweisungen zur Entschlüsselung zu erhalten, sollten Opfer an die angehängte E-Mail-Adresse (22eb687475f2c5ca30b@protonmail.com). Von dort aus werden Sie wahrscheinlich über den Preis der Entschlüsselungssoftware und die Möglichkeiten, diese zu erhalten, informiert. In der Regel fordern Cyberkriminelle ihre Opfer auf, unterschiedliche Geldbeträge in einer Kryptowährung an ihre Wallets zu senden. Die Spanne kann zwischen Hunderten und Tausenden von Dollar für die Wiederherstellung von Daten schwanken.

Polaris ist ein Ransomware-Programm, das eine Kombination aus AES- und RSA-Algorithmen verwendet, um Benutzerdaten zu verschlüsseln. Im Gegensatz zu anderen Infektionen dieser Art fügt Polaris den verschlüsselten Dateien keine Erweiterung hinzu. Das einzige, was sich ändert, ist die Zugänglichkeit zu Dateien – Opfer sind nicht mehr berechtigt, die gespeicherten Daten zu öffnen. Um dieses Problem zu lösen, ermutigen Polaris-Entwickler ihre Opfer, die Wiederherstellungsanweisungen in einer Datei namens . zu lesen WARNUNG.txt. Die Textnotiz erstellt am Ende der Verschlüsselung und sagt, dass Sie Erpresser per E-Mail-Kommunikation kontaktieren sollten (pol.aris@opentrash.com or pol.aris@tutanota.com). Es gibt auch die Möglichkeit, Cyberkriminelle stattdessen auf Discord hinzuzufügen. Beim Schreiben einer Nachricht sollten die Opfer den Namen des Unternehmens angeben, das angegriffen wurde. Dies ist ein Hinweis darauf, dass Polaris auf Unternehmensnetzwerke abzielt, damit sie es sich leisten können, das erforderliche Lösegeld zu zahlen. Der häufigste Rat, den Sie im Internet zu Lösegeldzahlungen sehen, ist, sie genauso zu vermeiden. Dies ist der Fall, da viele Cyberkriminelle dazu neigen, ihre Opfer zu täuschen und schließlich keine Entschlüsselungstools zu senden.