Ransomware

SUPERSUSO ist ein Ransomware-Programm, das starke Verschlüsselungsalgorithmen verwendet, um Benutzer daran zu hindern, auf ihre eigenen Daten zuzugreifen. Eine solche Änderung soll die Menschen dazu anregen, das sogenannte Lösegeld zu zahlen, um verschlüsselte Dateien wiederherzustellen. Die Opfer erfahren mehr über die Dateiverschlüsselung durch neue ihnen zugewiesene Erweiterungen. SUPERSUSO-Entwickler verwenden die .ICQ_SUPERSUSO Erweiterung, um alle blockierten Daten umzubenennen. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.ICQ_SUPERSUSO und setzen Sie das ursprüngliche Symbol zurück. Dasselbe gilt für alle Daten, die in Ihrem System gesperrt sind. Danach gibt SUPERSUSO eine Textdatei mit dem Namen #Entschlüsseln#.txt Wiederherstellungsanweisungen zu erklären. Die Opfer werden zunächst angewiesen, ICQ-Software für PC, Android oder IOS zu installieren und an die im Hinweis genannte Empfängeradresse der Cyberkriminellen zu schreiben. ICQ ist ein zuverlässiger und legitimer Messenger, der von Cyberkriminellen verwendet wird, um eine anonyme Kommunikation mit ihren Opfern herzustellen. Sollten Opfer die Entwickler nicht innerhalb von 72 Stunden kontaktieren, werden die kompromittierten Informationen gesammelt und an die Darknet-Märkte weitergegeben.

Shasha ist der Name eines Ransomware-Virus, der Daten mit dem .shasha Verlängerung. Die neue Erweiterung ist kein wesentlicher Bestandteil der Verschlüsselung, sondern ein visueller Aspekt, der die blockierten Daten hervorheben soll. Wenn Sie sehen, dass diese Erweiterung den meisten Daten wie diesen zugewiesen ist 1.pdf.shasha, dann sind Sie zweifellos mit Ransomware infiziert. Der nächste Schritt des Entwicklers nach dem Blockieren des Zugriffs auf Dateien besteht darin, zu erklären, wie sie wiederhergestellt werden können. Dazu erstellen Cyberkriminelle, die für den Shasha-Virus verantwortlich sind, eine Textnotiz namens READ_ME.txt und Desktop-Hintergründe ändern. In dieser Notiz behaupten Erpresser, dass sie die einzigen Figuren sind, die Ihre Dateien entschlüsseln können. Genauer gesagt sind sie diejenigen, die private Schlüssel und Entschlüsselungssoftware besitzen, die die Daten entsperren können. Opfer werden gebeten, es für 50 $ in BTC zu kaufen. Die Zahlung muss über die in der Notiz beigefügte Bitcoin-Adresse erfolgen. Leider ist es ziemlich ungewiss, wie Cyberkriminelle Ihnen die gekaufte Entschlüsselungssoftware zusenden werden.

Gemeinsames Lösegeld wird als Ransomware-Virus eingestuft, der auf infizierten Geräten gespeicherte Daten verschlüsselt, um eine Zahlung für die Rückgabe zu verlangen. Diese Version wurde von einem Malware-Forscher namens . entdeckt Michael Gillepsie. Wie viele Ransomware-Infektionen weist CommonRansom eine eigene Erweiterung zu, um die blockierten Daten hervorzuheben. Alle Daten, die von CommonRansom verschlüsselt wurden, ändern sich wie diese Datei hier - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Danach muss der Virus noch eine weitere Sache initiieren, die Erstellung von Lösegeldforderungen. Der Name der Notiz ist ENTSCHLÜSSELUNG.txt und es wird in jeden Ordner mit infizierten Dateien gelegt. In diesem Hinweis heißt es, dass die Opfer 12 Stunden Zeit haben, um die Datenentschlüsselung anzufordern, andernfalls gibt es keine Möglichkeit mehr, sie zurückzugeben. Es gibt auch eine Vorlage, die verwendet werden sollte, wenn Cyberkriminelle über ihre E-Mail-Adresse kontaktiert werden. Die angehängte Vorlage ist eigentlich sehr verdächtig, da die Opfer aufgefordert werden, ihren PC-RDP-Port, einen Benutzernamen zusammen mit einem Passwort, das zum Anmelden beim System verwendet wird, und den Zeitpunkt, zu dem Sie 0.1 BTC an die angegebene Krypto-Adresse bezahlt haben, anzugeben.

Gyjeb ist ein Ransomware-Virus, der Datenverschlüsselung durchführt, um Geld von Opfern zu erpressen. Es sieht Keq4p Ransomware sehr ähnlich, was bedeutet, dass sie wahrscheinlich aus derselben Malware-Familie stammen. So wie Keq4p, weist Gyjeb Ransomware eine zufällige Folge von sinnlosen Symbolen zusammen mit ihren eigenen zu .gyjeb Verlängerung. Zur Veranschaulichung ändert eine Datei wie "1.pdf" ihr Aussehen in etwas wie 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb und setzen Sie das ursprüngliche Symbol zurück. Nachdem alle Dateien auf diese Weise bearbeitet wurden, erstellt der Virus eine Textnotiz namens nTLA_HOW_TO_DECRYPT.txt was Entschlüsselungsanweisungen beinhaltet. Sie können sich mit diesem Hinweis im Screenshot unten vertraut machen.

Keq4p ist eine Ransomware-Infektion, die persönliche Daten mit kryptografischen Algorithmen verschlüsselt. Diese Algorithmen gewährleisten einen starken Datenschutz vor Versuchen, sie zu entschlüsseln. Von Ransomware angegriffene Dateien sind normalerweise Fotos, Videos, Musik, Dokumente und andere Arten von Daten, die einen gewissen Wert haben können. Die meisten Dateiverschlüsseler ändern alle betroffenen Dateien, indem sie ihre eigene Erweiterung zuweisen. Keq4p macht genau dasselbe, fügt aber auch eine zufällige Zeichenfolge hinzu. Zum Beispiel eine Datei wie 1.pdf wird sich in sowas ändern 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p oder ähnliches. Die zugewiesene Zeichenfolge ist völlig zufällig und hat keinen wirklichen Zweck. Zusammen mit den visuellen Änderungen schließt Keq4p seinen Verschlüsselungsprozess mit der Erstellung von zB6F_HOW_TO_DECRYPT.txt, eine Textdatei mit Lösegeldanweisungen. Sie können sich den Inhalt im folgenden Screenshot genauer ansehen.

Hydra ist eine Ransomware-Infektion, die Benutzerdaten durch eine gründliche Verschlüsselung unzugänglich macht. Abgesehen davon, dass sie nicht auf die Daten zugreifen können, können Benutzer auch einige visuelle Änderungen feststellen. Hydra weist eine neue Zeichenkette zu, die die E-Mail-Adressen von Cyberkriminellen, eine zufällig generierte ID, die jedem Opfer zugewiesen wird, und die .HYDRA Verlängerung am Ende. Zur Veranschaulichung eine Datei wie 1.pdf wird sein Aussehen ändern zu [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA und setzen Sie das ursprüngliche Symbol auf leer. Sobald alle Dateien verschlüsselt sind, fördert der Virus Lösegeldanweisungen, um die Opfer durch den Wiederherstellungsprozess zu führen. Dies finden Sie in #FILESENCRYPTED.txt Textnotiz, die nach der Verschlüsselung erstellt wird. Hydra-Entwickler sagen, dass Opfer ihre Dateien wiederherstellen können, indem sie an die angehängte E-Mail-Adresse (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Danach sollten Cyberkriminelle weitere Anweisungen zum Kauf der Entschlüsselung von Dateien geben.

DeltaPlus ist ein Ransomware-artiger Virus, der kryptografische Algorithmen verwendet, um persönliche Daten zu verschlüsseln. Es weist starke Verschlüsselungen zu, die ohne spezielle Entschlüsselungstools von Cyberkriminellen selbst schwer zu entschlüsseln sind. Um diese Tools zu kaufen, werden die Opfer aufgefordert, den Gegenwert von 6,000 USD in BTC an eine Krypto-Adresse zu senden. Der Preis für die Entschlüsselung kann auch auf 3,000 USD gesenkt werden, wenn Sie die Zahlung innerhalb der ersten 72 Stunden nach der Infektion abschließen. Alle diese Informationen werden in der Textnotiz namens . offengelegt Hilfe bei der Wiederherstellung Ihrer Files.txt, die erstellt wird, sobald die Verschlüsselung von Dateien abgeschlossen ist. Delta Plus fügt die an .Delta Erweiterung auf alle betroffenen Dateien. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.delta und verliert sein ursprüngliches Symbol. Nach diesen Änderungen können Benutzer nicht mehr auf ihre Dateien zugreifen, bis sie das erforderliche Lösegeld bezahlt haben.

Koxic wurde von Tomas Meskauskas entdeckt und ist eine Ransomware-Infektion, die auf dem PC gespeicherte Daten verschlüsselt. Mit anderen Worten, die meisten Dateien wie Fotos, Videos, Musik und Dokumente werden vom Virus blockiert, um den Zugriff der Benutzer darauf zu verhindern. Alle verschlüsselten Dateien werden auch neu .KOXIC or .KOXIC_PLCAW Erweiterungen. Das bedeutet verschlüsselte Dateien wie 1.pdf wird ändern zu 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Das gleiche Muster wird auf Restdaten angewendet, die von Ransomware verschlüsselt wurden. Nachdem der Virus die Verschlüsselung erledigt hat, erstellt er eine Textnotiz, in der die Anweisungen zum Lösegeld erklärt werden. Diese Anweisungen geben an, dass Opfer die Entwickler über kontaktieren sollten koxic@cock.li or koxic@protonmail.com E-Mails mit ihrer persönlichen ID. Diese ID finden Sie im Anhang der Lösegeldforderung. Wenn keine solche sichtbar ist, besteht die Möglichkeit, dass sich eine Version von Koxic Ransomware, die Ihr System infiltriert hat, noch in der Entwicklung befindet und getestet wird.