Ransomware

DeltaPlus ist ein Ransomware-artiger Virus, der kryptografische Algorithmen verwendet, um persönliche Daten zu verschlüsseln. Es weist starke Verschlüsselungen zu, die ohne spezielle Entschlüsselungstools von Cyberkriminellen selbst schwer zu entschlüsseln sind. Um diese Tools zu kaufen, werden die Opfer aufgefordert, den Gegenwert von 6,000 USD in BTC an eine Krypto-Adresse zu senden. Der Preis für die Entschlüsselung kann auch auf 3,000 USD gesenkt werden, wenn Sie die Zahlung innerhalb der ersten 72 Stunden nach der Infektion abschließen. Alle diese Informationen werden in der Textnotiz namens . offengelegt Hilfe bei der Wiederherstellung Ihrer Files.txt, die erstellt wird, sobald die Verschlüsselung von Dateien abgeschlossen ist. Delta Plus fügt die an .Delta Erweiterung auf alle betroffenen Dateien. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.delta und verliert sein ursprüngliches Symbol. Nach diesen Änderungen können Benutzer nicht mehr auf ihre Dateien zugreifen, bis sie das erforderliche Lösegeld bezahlt haben.

Koxic wurde von Tomas Meskauskas entdeckt und ist eine Ransomware-Infektion, die auf dem PC gespeicherte Daten verschlüsselt. Mit anderen Worten, die meisten Dateien wie Fotos, Videos, Musik und Dokumente werden vom Virus blockiert, um den Zugriff der Benutzer darauf zu verhindern. Alle verschlüsselten Dateien werden auch neu .KOXIC or .KOXIC_PLCAW Erweiterungen. Das bedeutet verschlüsselte Dateien wie 1.pdf wird ändern zu 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Das gleiche Muster wird auf Restdaten angewendet, die von Ransomware verschlüsselt wurden. Nachdem der Virus die Verschlüsselung erledigt hat, erstellt er eine Textnotiz, in der die Anweisungen zum Lösegeld erklärt werden. Diese Anweisungen geben an, dass Opfer die Entwickler über kontaktieren sollten koxic@cock.li or koxic@protonmail.com E-Mails mit ihrer persönlichen ID. Diese ID finden Sie im Anhang der Lösegeldforderung. Wenn keine solche sichtbar ist, besteht die Möglichkeit, dass sich eine Version von Koxic Ransomware, die Ihr System infiltriert hat, noch in der Entwicklung befindet und getestet wird.

Porno wird als Ransomware-Infektion eingestuft, die auf die Verschlüsselung personenbezogener Daten abzielt. Dateien wie Fotos, Dokumente, Musik und Videos werden höchstwahrscheinlich von Porn Ransomware verschlüsselt. Um verschlüsselte Dateien von regulären zu unterscheiden, weisen die Entwickler die .Porno Erweiterung auf jede kompromittierte Probe. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.porn und setzen Sie das ursprüngliche Symbol zurück. Danach fordert der Virus das sogenannte Lösegeld, um Ihre Daten wiederherzustellen. Diese Informationen können in einem Popup-Fenster oder einer Textnotiz namens . angezeigt werden RECUPERAR__.porn.txt. In diesem Notiz- und Popup-Fenster zeigen Cyberkriminelle die Anzahl der Dateien an, die sie entschlüsselt haben. Um die zugewiesenen Chiffren zu löschen, bitten die Porn-Entwickler die Opfer, 1 BTC an die angehängte Krypto-Adresse zu senden und ihnen anschließend die Transaktions-ID per E-Mail zu senden. Leider können sich nicht viele Opfer den Preis von 1 BTC (42,000 USD) leisten.

BlackByte ist der Name eines Datenschlosses, das auf einem Gerät gespeicherte Dateien verschlüsselt. Solche Malware ist eher als Ransomware bekannt, da sie Geld von den Opfern für die Wiederherstellung von Daten erpresst. Auch wenn BlackByte neu und wenig beachtet ist, gibt es genügend Details, um es von anderen Infektionen zu unterscheiden. Einer von ihnen ist der .schwarzbyte Erweiterung, die an jede verschlüsselte Datei angehängt wird. Zum Beispiel ein Stück wie 1.pdf wird seine Erweiterung ändern in 1.pdf.blackbyte und setzen Sie das ursprüngliche Symbol zurück. Der nächste Schritt nach der Verschlüsselung aller verfügbaren Daten ist die Erstellung einer Lösegeldforderung. BlackByte generiert die BlackByte_restoremyfiles.hta Datei, die Wiederherstellungsdetails anzeigt. Darin werden die Opfer angewiesen, sich per E-Mail an Cyberkriminelle zu wenden. Diese Aktion ist zwingend erforderlich, um weitere Anweisungen zum Kauf eines Dateientschlüsselers zu erhalten. Dieser Entschlüsseler ist einzigartig und wird nur von Cyberkriminellen verwendet. Der Preis für das Lösegeld kann von Person zu Person variieren und Hunderte von Dollar erreichen. Denken Sie daran, dass die Zahlung des Lösegelds immer ein Risiko darstellt, Ihr Geld umsonst zu verlieren. Viele Erpresser neigen dazu, ihre Opfer zu täuschen und keine Entschlüsselungsinstrumente zu senden, selbst nachdem sie das angeforderte Geld erhalten haben. Leider gibt es keine Entschlüsseler von Drittanbietern, die eine 100%ige Entschlüsselung von BlackByte-Dateien garantieren können.

Ranion ist eine Malware-Gruppe, die Ransomware-Infektionen entwickelt und verbreitet. Seine neueste Version heißt R44s, die Daten mit starken kryptografischen Algorithmen verschlüsselt und dann Geld für ihre Einlösung verlangt. Opfer können erkennen, dass ihre Dateien visuell verschlüsselt wurden. Erste Versionen von Ranion Ransomware in Novemver entdeckt, 2017 verwendet .Lösegeld Verlängerung. Jetzt weist der Virus die Ebene zu .r44s Erweiterung auf alle kompromittierten Teile. Hier ist ein kurzes Beispiel dafür, wie Dateien nach erfolgreicher Verschlüsselung aussehen: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44s, und so weiter, abhängig vom ursprünglichen Dateinamen. Direkt nachdem dieser Verschlüsselungsprozess beendet ist, erstellt R44s eine HTML-Datei namens README_TO_DECRYPT_FILES.html.

Entdeckt von einem Malware-Forscher namens S!Ri, Artemis gehört zur PewPew-Ransomware-Familie. Betrüger hinter dieser Familie haben eine Reihe von hochriskanten Infektionen verbreitet, die Datenverschlüsselung ausführen. Artemis ist die neueste Variante von Dateiverschlüsselung, die den Zugriff auf die meisten gespeicherten Daten mit mehrschichtigen kryptografischen Algorithmen unterbindet. Diese Algorithmen sorgen dafür, dass Daten gründlich verschlüsselt werden, wodurch Benutzer daran gehindert werden, sie zu öffnen. Außerdem werden von Artemis gesperrte verschlüsselte Dateien auch visuell verändert. Zum Beispiel eine Datei wie 1.pdf wird sich in sowas ändern 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis und setzen Sie das ursprüngliche Symbol zurück. Diese Zeichenfolge besteht aus der ID des Opfers, khalate@tutanota.com E-Mail-Adresse und .artemis Verlängerung am Ende. Sobald die Verschlüsselung abgeschlossen ist, fordert Artemis die info-decrypt.hta auf dem gesamten Bildschirm erscheinen. Aktuelle Versionen der Malware verwenden ReadMe-[Opfer's_ID].txt Name und Verwendung der Lösegeldforderung .ultimativ und .999 Erweiterungen (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate und 1.pdf.id[Opfer-ID].[restoredisscus@gmail.com].999).

Guten Morgen ist ein bösartiges Programm, das als Ransomware eingestuft wird. Sein Hauptziel besteht darin, Geld mit Opfern zu verdienen, deren Daten mit starken Verschlüsselungen verschlüsselt wurden. Normalerweise bemerken die Opfer die Infektion, nachdem GoodMorning kompromittierten Dateien eine neue komplexe Erweiterung zuweist (Endung mit .Guten Morgen, .GESPERRT or .ECHT). Zum Beispiel, 1.pdf und andere auf einem System gespeicherte Dateien werden in dieses Muster geändert 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Die ID innerhalb der Erweiterungen unterscheidet sich individuell, da sie für jedes der Opfer einzigartig ist. Sobald alle Dateien verschlüsselt und visuell verändert sind, erstellt der Virus Textnotizen, die entweder . genannt werden Guten Morgen.txt, ReadIt.txt or ReadMe.txt. Es soll umfassendere Anweisungen zur Wiederherstellung Ihrer Daten erläutern.

zahlen ist ein Ransomware-Programm, das Windows-Systeme infiziert, um persönliche Daten zu verschlüsseln. Es beeinflusst die Konfiguration gespeicherter Dateien und macht sie völlig unzugänglich. Dies bedeutet, dass alle Versuche, die Dateien zu öffnen, aufgrund der Verschlüsselung abgelehnt werden. Neben Konfigurationsänderungen verändert Pagar Ransomware Daten auch visuell - durch Zuweisung der .pagar40br@gmail.com Erweiterung für jede Datei unter Verschlüsselung. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.pagar40br@gmail.com und setzen Sie das ursprüngliche Symbol auf leer zurück. Nachdem alle Dateien verschlüsselt wurden, erstellt Pagar eine Lösegeldforderung namens Dringende Mitteilung.txt, die erklärt, wie Sie die Daten wiederherstellen. Ransomware-Entwickler sind prägnant und sagen, Sie haben 72 Stunden Zeit, um 0.035 BTC an die angehängte Brieftasche zu senden. Unmittelbar nach Abschluss der Zahlung sollten die Opfer die Entwickler über pagar40br@gmail.com kontaktieren und ihre eigene Wallet-Adresse und eine eindeutige ID (in der Notiz angegeben) anhängen. Leider gibt es keine Informationen darüber, ob den Entwicklern von Pagar vertraut werden kann.