Ransomware

Eine neue Ransomware-Infektion namens DEcovid19 ist ins Internet gekommen und hat viele Angriffe auf ungeschützte PCs verursacht. Das Virus wurde am 11. Januar von verzweifelten Opfern mit verschlüsselten Daten gemeldet. Basierend auf den aktuellen Informationen ist klar, dass DEcovid19 den Zugriff auf Daten blockiert, indem Dateierweiterungen in geändert werden .Covid19 or .gesperrt. Ein Beispiel für das Original 1.mp4 Von Ransomware betroffene Arten können auf zwei Arten angezeigt werden: entweder als 1.mp4.locked or 1.mp4.covid19. Sobald der Verschlüsselungsprozess abgeschlossen ist, erstellt das Schadprogramm eine Textnotiz (! DECRYPT_FILES.txt or ACHTUNG !!!. Txt) soll Entschlüsselungsanweisungen erklären. Im Inneren können Benutzer die Vireninformationen schnell durchblättern. Der nächste Teil des Textes ist der Wiederherstellung Ihrer Daten gewidmet. Benutzer sollen sich an den Telegramm-Bot wenden, indem sie in der Betreffzeile eine persönliche ID anhängen und angeben, wie viele PCs entschlüsselt werden müssen. Es ist auch erforderlich, 1-2 verschlüsselte Dateien zu senden, die keine wichtigen Informationen enthalten (weniger als 2 MB), damit Cyberkriminelle den richtigen Decoder für Ihre Daten finden können. Das Letzte, was Betrüger nicht zuletzt sagen, sind Zeitgrenzen - Sie haben 72 Stunden Zeit, um eine Entscheidung zu treffen und den Entschlüsselungsschlüssel zu bezahlen.

Fair Ransomware ist eines von vielen gefährlichen Elementen, die persönliche Daten verschlüsseln. Es gehört zur Malware-Familie, die als bekannt ist Makop, die eine Reihe ähnlicher Infektionen entwickelt hat. Sobald Fair Ransomware Ihr System angreift, werden bestimmte Skripts installiert, die den Zugriff auf mehrere Dateien blockieren, indem sie eindeutige Erweiterungen zuweisen. Diese Erweiterungen bestehen aus einer persönlichen ID-Nummer, dem Suffix [fairexchange@qq.com] und .fair am Ende jeder Datei. Ein Beispiel für das Originalbeispiel, bei dem diese Änderungen aufgetreten sind, sieht folgendermaßen aus 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Während der Zugriff auf Daten nicht mehr in den Händen der Benutzer liegt, erstellen Erpresser eine Textdatei mit dem Namen readme-warning.txt in jedem Ordner mit verschlüsselten Dateien. In diesem Hinweis erklären Cyberkriminelle verwirrten Menschen kurz, was mit ihren PCs passiert ist. Dann sagen die Entwickler von Fair Ransomware, dass es notwendig ist, die Entschlüsselungssoftware (in BTC) zu kaufen, um die Kontrolle über die Daten zurückzugewinnen. Sie bieten auch die Teilnahme an der sogenannten "Garantieprüfung" an, bei der Benutzer 2 Dateien mit begrenzter Größe kostenlos entschlüsseln können. Obwohl solche Tricks die Integrität von Betrügern rechtfertigen sollten, sagen Statistiken leider das Gegenteil.

Auch bekannt als WickrMe, Hello Ransomware ist ein gefährlicher Virus, der persönliche Daten (Fotos, Videos, Dokumente usw.) verschlüsselt. Wie bei anderen Infektionen dieser Art muss auch nach der Verschlüsselung eine Gebühr entrichtet werden. Zuvor ändert Hello Ransomware jedoch Ihre Dateien mit der neuen .hello Erweiterung. Es sind keine zusätzlichen Symbole enthalten, sodass Ihre Dateien so aussehen 1.mp4.hello und ähnlich. Sobald solche Änderungen abgeschlossen sind, erstellt der Virus eine Textnotiz (Readme!!!.txt) mit Lösegeldanweisungen. In diesem Dokument werden Benutzer angewiesen, Cyberkriminelle über angehängte E-Mails oder Wickr Me (einen privaten Messenger) zu kontaktieren. Daher erhalten sie eine Liste mit Schritten, mit denen die Zahlung ausgeführt und die gefährdeten Daten wiederhergestellt werden können. Obwohl Ransomware-Entwickler normalerweise die einzigen Personen sind, die Ihre Daten entschlüsseln können, empfehlen wir leider nicht, die erforderliche Zahlung zu implementieren. Andernfalls scheint es eine Geldverschwendung zu sein, da es keine Garantie gibt, dass Sie die versprochene Entschlüsselung erhalten. Statistisch gesehen ignorieren Erpresser Benutzer, selbst nachdem alle Schritte ausgeführt wurden. Daher muss Hello Ransomware von Ihrem Computer gelöscht werden, um eine weitere Datenentschlüsselung zu verhindern.

Dharma ist eine Ransomware-Familie, die als der größte Entwickler von Ransomware-Infektionen gilt. Es wurde festgestellt, dass viele Versionen Benutzer mit Datenverschlüsselung und Lösegeldnachrichten angreifen. Eine der jüngsten Versionen, bei denen festgestellt wurde, dass sie aktiv sind, ist jedoch als bekannt yoAD-Ransomware. Ähnlich wie ähnliche Viren dieses Typs weist es die neuen zu .yoAD Erweiterung mit zufälliger ID und E-Mail von Cyberkriminellen auf alle Daten, die auf einem kompromittierten PC gespeichert sind. Zum Beispiel mag die Originaldatei 1.mp4 werde einen Blick darauf werfen 1.mp4.id-C279F237.[yourfiles1@cock.li].yoADoder ähnlich. Durch solche Änderungen sind Ihre Dateien nicht mehr zugänglich, da Versuche, sie zu initiieren, abgelehnt werden. Sobald dieser Prozess abgeschlossen ist, greift der Virus mit der Erstellung von Textanweisungen ein. Sie werden in der vorgestellt FILES ENCRYPTED.txt Dokument direkt auf Ihrem Desktop. Wie Erpresser behaupten, besteht die einzige Möglichkeit, Ihre Daten wiederherzustellen, darin, sie per E-Mail zu kontaktieren. Dann geben sie Ihnen angeblich eine Krypto-Brieftasche, um Geld in Bitcoin zu senden. Danach erhalten Sie die notwendigen Tools, um Ihre Daten wiederherzustellen. Leider passt diese Methode nicht für alle, da die von Cyberkriminellen verlangten Beträge astronomisch hoch und nicht einfach zu bezahlen sein können.

Crypto-Locker Mijnal ist eine Infektion vom Typ Ransomware, die personenbezogene Daten mit AES + RSA-Algorithmen codiert. Die Anwendung solcher Mittel bedeutet, dass die zugewiesene Chiffre mit herkömmlichen Methoden schwer zu brechen ist. Mit anderen Worten, es wird sichergestellt, dass die manuelle Entschlüsselung nicht erfolgt, nachdem die Daten gesperrt wurden. Leider scheint es in den meisten Fällen tatsächlich unmöglich zu sein, aber Sie sollten es versuchen, nachdem Sie diesen Text gelesen haben. Wie andere Infektionen verschlüsselt Mijnal Ihre Daten, indem Sie eine Dateierweiterung in ändern .mijnal. Beispielsweise wird ein Beispiel wie "1.mp4" in "1.mp4.mijnal" geändert und das ursprüngliche Symbol zurückgesetzt. Nach Abschluss des Verschlüsselungsprozesses erstellt der Virus eine Textnotiz mit dem Namen "README_LOCK.txt", die Anweisungen zum Einlösen enthält. Die darin enthaltenen Informationen sind in russischer Sprache verfasst, was bedeutet, dass sich die Entwickler hauptsächlich auf die GUS-Regionen konzentrieren. Es gibt jedoch einige englische Benutzer, die ebenfalls davon betroffen sein können. Wenn Sie bereit sind, Ihre Daten so schnell wie möglich zu entschlüsseln, bitten Cyberkriminelle die Opfer, den angehängten Link über den Tor-Browser zu öffnen und den Anweisungen genau dort zu folgen. Dann werden Erpresser Sie eher bitten, einen bestimmten Betrag in Bitcoin zu zahlen, um wieder auf Ihre Daten zugreifen zu können. Obwohl die Zahlung des Lösegelds normalerweise die einzige Methode zur Überwindung der Datenverschlüsselung ist, empfehlen wir, keine Anfragen zu erfüllen, da dies auch für Ihre Tasche und Ihre Privatsphäre gefährlich sein kann.

Leitkcad ist ein reines Beispiel für Krypto-Malware, bei der personenbezogene Daten verschlüsselt werden, um ein sogenanntes Lösegeld zu erhalten. Die lebhaftesten Symptome, die auf die Anwesenheit des Leitkcad hinweisen, sind die Zuordnung von .leitkcad Erweiterung. Mit anderen Worten, es wird am Ende jeder von Malware betroffenen Datei angezeigt. Zum Beispiel eine Datei wie 1.mp4 wird geändert in 1.mp4.leitkcad und setzen Sie das ursprüngliche Symbol zurück. Sobald alle Dateien geändert wurden, wechselt der Virus zur nächsten Phase und erstellt eine Notiz mit dem Namen help-leitkcad.txt. Es enthält Informationen zur Verschlüsselung sowie Anweisungen zum Wiederherstellen Ihrer Daten. Cyberkriminelle sagen, dass Sie sich an einen Betreiber wenden und Ihre ID, Ihren persönlichen Schlüssel und Ihre E-Mail-Adresse über die Chat-Seite eingeben sollten. Der Link dazu kann nur mit dem Tor-Browser geöffnet werden, der von den Opfern heruntergeladen werden muss. Nachdem Sie Kontakt mit Cyberkriminellen aufgenommen haben, erhalten Sie weitere Anweisungen zum Kauf der Entschlüsselungssoftware. Es ist auch erwähnenswert, dass ein Neustart und eine Änderung verschlüsselter Dateien zu einem dauerhaften Verlust führen kann. Erpresser legen bestimmte Algorithmen fest, mit denen sie Ihre Aktivität erkennen können. Dies bedeutet, dass Ihre Dateien vorübergehend gelöscht werden, wenn Sie sich weigern, eine der oben genannten Warnungen einzuhalten.

Ein neues Kryptovirus namens LuziferKrypta ist vor ein paar Tagen ins Spiel gekommen, um persönliche Daten zu verschlüsseln. Solange die Studie läuft, ist es bereits offensichtlich, dass diese Ransomware den Zugriff auf Daten durch Zuweisen einer Erweiterung mit langen Zeichenfolgen einschränkt (.id=[].email=[].LuciferCrypt). Eine kurze Darstellung einer infizierten Probe würde so aussehen 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Nachdem der Verschlüsselungsprozess abgeschlossen ist, setzt der Virus seine Anwesenheit fort und erstellt eine Textdatei mit dem Namen HowToRecoverFiles.txt. In diesem Dokument benachrichtigen Erpresser die Opfer über eine erfolgreiche Verschlüsselung. Um dies rückgängig zu machen, sollten Opfer Cyberkriminelle per E-Mail kontaktieren und eine Gebühr für die Wiederherstellung der Dateien entrichten. Sobald dies erledigt ist, werden Ihre Daten automatisch entschlüsselt, ohne dass Manipulationen erforderlich sind. Es wird auch gesagt, dass der Preis direkt davon abhängt, wie schnell Sie den Betrügern antworten. Zuvor dürfen Sie auch die kostenlose Entschlüsselung nutzen. Entwickler bieten an, bis zu 3 Dateien (weniger als 4 MB und nicht archiviert) zu senden, die keine wertvollen Informationen enthalten sollten.

Nach der Pumpen-Ransomware Wenn Sie Ihr System angreifen, werden alle Daten durch starke Algorithmen verkettet, die den Zugriff darauf einschränken. Die Malware wird angehängt .Pumpe Erweiterung der codierten Dateien. Zum Beispiel eine Datei wie 1.mp4 wird ein neues Aussehen von bekommen 1.mp4.pump und setzen Sie das ursprüngliche Symbol zurück. Die am Ende angewendete Erweiterung bedeutet, dass Ihre Dateien verschlüsselt sind. Solche Änderungen gehen normalerweise mit der Erstellung von Lösegeldanweisungen einher. In unserem Fall löscht der Virus eine Textdatei namens README.txt Das wird Ihnen helfen, die Dateien wiederherzustellen. Der darin enthaltene Inhalt ist kurz. Cyberkriminelle haben nur ihre E-Mail-Adresse angehängt, um die Opfer zur Kontaktaufnahme aufzurufen. Dann werden sie angeblich weitere Anweisungen zum Kauf der Entschlüsselungssoftware geben. Egal wie weit der Preis geht, die Einhaltung der Anforderungen von Betrügern ist riskant - sie können in ihren Versprechungen dumm werden und Ihnen auch nach einer Zahlung keine Werkzeuge hinterlassen.