Ransomware

Chaos ist eine beliebte Ransomware-Familie, die eine Reihe von Malware-Versionen verbreitet. Nach der Infektion werden die meisten auf einem System gespeicherten Dateien neu angepasst und sind nicht mehr zugänglich. Dies tun Cyberkriminelle, um im Austausch für die Entsperrung von Daten das sogenannte Lösegeld von den Opfern zu erpressen. Im Moment gibt es die 4 beliebtesten Versionen von Chaos - Axiom, Teddy, Encrypted und AstraLocker Ransomware. Alle 4 weisen ihre eigene Nebenstelle zu, während sie den Zugriff auf Daten blockieren. Zum Beispiel eine Datei wie 1.pdf kann sich ändern zu 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encrypted, oder 1.pdf.astralocker je nachdem, welche Version Ihr Netzwerk angegriffen hat. Anfangs hieß Chaos Ryuk .Net Ransomware, wurde dann aber aktualisiert und unter dem neuen Namen verbreitet. Darüber hinaus ahmte Ryuk.Net nur die Verschlüsselung mit AES+RSA-Algorithmen nach, verwendete aber tatsächlich Base64-Codierung, um die Struktur von Dateien zu beschädigen. Nicht ausgeschlossen, dass dies auch in neueren Versionen zu erwarten ist. Es ist auch möglich, eine Version von Chaos zu sehen, die eine Reihe zufälliger Zeichen an verschlüsselte Dateien anhängt - wie 1.pdf.us00, 1.pdf.wf1d, und so weiter. Sobald die Verschlüsselung (oder gefälschte Verschlüsselung) abgeschlossen ist, erstellt der Virus eine Textnotiz mit Anweisungen zur Wiederherstellung Ihrer Daten. Hier sind die Namen sowie der Inhalt jeder Textnotiz, die von verschiedenen Versionen erstellt wurde (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi steht für ein Ransomware-Programm, das die Erweiterungen von Dateien ändert und sie alle verschlüsselt. .tohnichi ist der Name der neuen Nebenstelle, die jedem kompromittierten Teil zugewiesen wird. Dies bedeutet, dass alle verschlüsselten Dateien so angezeigt werden 1.pdf.tohnichi am Ende des Prozesses. Das letzte Puzzleteil, das Tohnichi mitgebracht hat, ist So entschlüsseln Sie files.txt, die von Malware erstellte Textdatei zur Erläuterung der Entschlüsselungsanweisungen. Zunächst wird behauptet, dass Ihr Netzwerk gehackt wurde, was es Erpressern ermöglichte, Ihre Daten zu verschlüsseln. Dann sagen Cyberkriminelle, dass sie die einzigen Personen sind, die in der Lage sind, eine sichere und vollständige Entschlüsselung von Daten durchzuführen. Dazu werden die Opfer gebeten, die Kommunikation über den Tor-Browserlink herzustellen und für die Entschlüsselungssoftware zu bezahlen. Der Preis wird geheim gehalten und hängt davon ab, wie schnell Sie Entwickler kontaktieren. Nach Abschluss der Zahlung versprechen die Entwickler, ein einzigartiges Entschlüsselungstool zu senden, um die Daten wiederherzustellen. Darüber hinaus sagen Ransomware-Entwickler, dass sie mehrere Dateien (die keine wertvollen Informationen enthalten) entschlüsseln können, bevor sie das Lösegeld kostenlos bezahlen. Dies ist in der Tat ein gutes Angebot, aber immer noch unzureichend, um Cyberkriminellen individuell zu vertrauen.

Zeppelin wurde entdeckt von GrujaRSDies ist ein böswilliges Element, das Computer infiziert und Benutzerdaten verschlüsselt. Programme wie diese sind normalerweise so konzipiert, dass sie mit verzweifelten Benutzern Geld verdienen, deren Dateien gesperrt wurden. Wie üblich bringt die Verschlüsselung eine wesentliche Änderung in der Dateierweiterung mit sich - sie benennt sie mithilfe des hexadezimalen Zahlensystems in so etwas um 1.mp4.126-A9A-0E9. Tatsächlich kann die Erweiterung durch Symbole variieren, da der Virus zufällige Werte erzeugen kann. Sobald die Verschlüsselung abgeschlossen ist, erstellt Zepellin eine Textdatei mit dem Namen !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT auf Ihrem Desktop. In dieser Notiz beleidigen Erpresser Sie mit Lösegeldmissbrauch und rufen Sie an, sich mit ihnen in Verbindung zu setzen und einen bestimmten Schlüssel zu kaufen. Leider gibt es derzeit keine bewährte Methode, mit der Sie Ihre Daten kostenlos entschlüsseln können. Der einzige Weg, dies zu tun, besteht darin, den Anweisungen zu folgen, was ein großes Risiko darstellt. Obwohl die Entscheidung auf Ihren Schultern liegt, empfehlen wir Ihnen, Zeppelin Ransomware in der folgenden Anleitung zu löschen.

MOSNO wird als Ransomware-Infektion kategorisiert, die nach der Verschlüsselung von Daten Geld von den Opfern verlangt. Normalerweise befallen solche Infektionen alle potenziell wichtigen Dateien wie Fotos, Videos, Dokumente, Datenbanken und mehr, die für die Opfer einen gewissen Wert haben. Die Verschlüsselung kann durch neue Erweiterungen erkannt werden, die jedem kompromittierten Teil zugewiesen werden. Zum Beispiel eine Datei namens 1.pdf wird ändern zu 1.pdf.MOSN am Ende der Verschlüsselung. Dasselbe wird mit anderen Daten nach diesem Muster gesehen. Dann, kurz darauf, installiert MOSN neue Hintergrundbilder, die sich über den gesamten Bildschirm erstrecken und eine kurze Zusammenfassung des Lösegelds anzeigen. Darin heißt es, dass Opfer die Entwickler über kontaktieren sollten walter1964@mail2tor.com E-Mail-Adresse und zahlen 300 $ in Bitcoin für die Dateneinlösung. Darüber hinaus erstellt MOSN Ransomware eine Textdatei namens INFORMATION_READ_ME.txt das erklärt dasselbe, erwähnt aber auch die Anzahl der verschlüsselten Dateien und die eindeutige ID, die bei der Kontaktaufnahme mit Erpressern angehängt werden sollten.

Göttlichkeit, Matafaka und Army sind drei Ransomware-Infektionen, die von der Entwicklergruppe Xorist veröffentlicht wurden. Nachdem Ihr System erfolgreich infiziert wurde, zwingt ein Virus die meisten der gespeicherten Dateien dazu, ihren Namen zu ändern. Je nachdem, welche Version Ihren PC angegriffen hat, kann jede Bild-, Video-, Musik- oder Dokumentdatei wie 1.pdf wird ändern zu 1.pdf.divinity, 1.pdf.matafaka, oder 1.pdf.army. Nachdem jede Datei optisch geändert wurde, zeigen die oben genannten Versionen eine Textnachricht in Popup-Fenstern oder Notizblockdateien (HOW TO DECRYPT FILES.txt). Der Text unterscheidet sich für jede Version. Zur Veranschaulichung zeigen Matafaka und Army kaum Informationen zur Datenentschlüsselung. Sie erwähnen, dass Ihr PC gehackt wurde, liefern jedoch keine Informationen oder Zahlungsanweisungen, um die Daten wiederherzustellen. Der Grund dafür kann sein, dass sich diese Versionen noch in der Entwicklung und im Test befinden. Nicht ausgeschlossen, dass bereits komplette Versionen mit vollwertigen Anleitungen im Netz kursieren. Divinity ist die einzige Version aus der Liste mit Kontaktdaten, um das Lösegeld zu bezahlen. Dazu werden Nutzer gebeten, eine Direktnachricht an @lulzed Telegram oder @dissimilate auf Twitter zu schreiben. Beachten Sie, dass die Xorist Ransomware-Familie XOR- und TEA-Algorithmen verwendet, um personenbezogene Daten zu verschlüsseln. Mit solchen Verschlüsselungen verschlüsselte Daten sind ohne die Beteiligung von Cyberkriminellen weniger wahrscheinlich entschlüsselbar. Trotzdem wird ausdrücklich davon abgeraten, den Forderungen betrügerischer Zahlen nachzukommen.

Herrko wird als bösartiges Ransomware-Programm kategorisiert. Solche Malware sucht nach wichtigen Daten, die auf einem PC gespeichert sind, und blockiert den Zugriff darauf mithilfe kryptografischer Algorithmen. Das Hauptziel der Herrco-Entwickler sind Geschäftsinhaber, die angeblich genug Geld verdienen, um die Entschlüsselung von Dateien zu bezahlen. Die Erpresser hinter Herrco Ransomware richten ihre Software so ein, dass sie alle relevanten Daten mit dem .herrco Verlängerung. Zum Beispiel eine Datei namens 1.pdf wird sein Aussehen ändern zu 1.pdf.herrco am Ende der Verschlüsselung. Auf eine solche Änderung folgt daher die Schaffung von So entschlüsseln Sie files.txt. Dies ist eine Textdatei, die die Entschlüsselung im Detail erklären soll. Es wird gesagt, dass die einzige Möglichkeit, Ihre Daten im infizierten Netzwerk wiederherzustellen, darin besteht, Entwickler zu kontaktieren und das sogenannte Lösegeld zu zahlen. Der Preis wird geheim gehalten und hängt davon ab, wie schnell Sie Cyberkriminelle erreichen. Um das Gespräch mit Cyberkriminellen in Gang zu bringen, werden die Opfer gebeten, den Tor-Link zu öffnen und ihre persönliche ID einzugeben, die oben auf der Lösegeldforderung angegeben ist. Zuvor wird auch vorgeschlagen, einige Dateien, die keine wertvollen Informationen enthalten, zur kostenlosen Entschlüsselung zu senden.

Keversen ist ein Ransomware-artiger Virus, der auf eine starke Verschlüsselung von Daten abzielt. Damit sollen die Opfer dazu gebracht werden, das sogenannte Lösegeld zu zahlen, um die gesperrten Dateien zu entschlüsseln. Alle Anweisungen zum Wiederherstellungsprozess werden angezeigt, nachdem Ihre Dateien verschlüsselt wurden. Der Keversen-Virus benennt eine Vielzahl von personenbezogenen Daten (Fotos, Videos, Dokumente, Datenbanken etc.) mit dem .keversen Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird ändern zu 1.pdf.keversen direkt nach der Verschlüsselung. All dies geschieht im Handumdrehen, daher gibt es keine Möglichkeit, dies zu verhindern, es sei denn, Sie haben ein spezielles Anti-Ransomware-Programm installiert. Dann, gleich nachdem diese Phase der Infektion abgeschlossen ist, geht die Keversen Ransomware mit der Erstellung des !=READMY=!.txt Hinweis, der einige Worte darüber verliert, wie Sie Ihre Daten wiederherstellen können.

Info ist ein Beispiel für eine Ransomware-Infektion, die verschiedene Arten von persönlichen Daten verschlüsselt, die auf einem System gespeichert sind. Nachdem dieser Prozess offiziell abgeschlossen ist, können die Opfer nicht mehr auf ihre Daten zugreifen. Infa Ransomware weist eine gemeinsame Erweiterung (.infa) auf alle kompromittierten Dateien. Dies bedeutet eine Datei wie 1.pdf wird geändert in 1.pdf.infa oder ähnlich abhängig vom ursprünglichen Namen. Direkt nachdem alle Dateien umbenannt wurden, erzwingt der Virus eine Textnotiz namens readnow.txt auf Ihrem Desktop ablegen. Diese enthält allgemeine Informationen zur Wiederherstellung Ihrer Daten. Wie in der Notiz angegeben, wurden Dateien wie Fotos, Videos, Dokumente und andere Formate verschlüsselt. Um die angehängten Chiffren zu löschen, sollten die Opfer Cyberkriminelle kontaktieren (via stevegabriel2000@gmail.com) und kaufen Sie einen speziellen Entschlüsselungsschlüssel. Der Preis beträgt 0.0022 BTC, was ungefähr 95 $ entspricht, als wir diesen Artikel schreiben. Es wird auch erwähnt, dass 2 Tage für die Dateientschlüsselung vorgesehen sind. Wenn Sie die Zahlung nicht rechtzeitig abschließen, werden Ihre Dateien aus dem System gelöscht. Die Entscheidung, die Entschlüsselung zu bezahlen, liegt in Ihrer eigenen Entscheidung.