Ransomware

Ein neues Kryptovirus namens LuziferKrypta ist vor ein paar Tagen ins Spiel gekommen, um persönliche Daten zu verschlüsseln. Solange die Studie läuft, ist es bereits offensichtlich, dass diese Ransomware den Zugriff auf Daten durch Zuweisen einer Erweiterung mit langen Zeichenfolgen einschränkt (.id=[].email=[].LuciferCrypt). Eine kurze Darstellung einer infizierten Probe würde so aussehen 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Nachdem der Verschlüsselungsprozess abgeschlossen ist, setzt der Virus seine Anwesenheit fort und erstellt eine Textdatei mit dem Namen HowToRecoverFiles.txt. In diesem Dokument benachrichtigen Erpresser die Opfer über eine erfolgreiche Verschlüsselung. Um dies rückgängig zu machen, sollten Opfer Cyberkriminelle per E-Mail kontaktieren und eine Gebühr für die Wiederherstellung der Dateien entrichten. Sobald dies erledigt ist, werden Ihre Daten automatisch entschlüsselt, ohne dass Manipulationen erforderlich sind. Es wird auch gesagt, dass der Preis direkt davon abhängt, wie schnell Sie den Betrügern antworten. Zuvor dürfen Sie auch die kostenlose Entschlüsselung nutzen. Entwickler bieten an, bis zu 3 Dateien (weniger als 4 MB und nicht archiviert) zu senden, die keine wertvollen Informationen enthalten sollten.

Nach der Pumpen-Ransomware Wenn Sie Ihr System angreifen, werden alle Daten durch starke Algorithmen verkettet, die den Zugriff darauf einschränken. Die Malware wird angehängt .Pumpe Erweiterung der codierten Dateien. Zum Beispiel eine Datei wie 1.mp4 wird ein neues Aussehen von bekommen 1.mp4.pump und setzen Sie das ursprüngliche Symbol zurück. Die am Ende angewendete Erweiterung bedeutet, dass Ihre Dateien verschlüsselt sind. Solche Änderungen gehen normalerweise mit der Erstellung von Lösegeldanweisungen einher. In unserem Fall löscht der Virus eine Textdatei namens README.txt Das wird Ihnen helfen, die Dateien wiederherzustellen. Der darin enthaltene Inhalt ist kurz. Cyberkriminelle haben nur ihre E-Mail-Adresse angehängt, um die Opfer zur Kontaktaufnahme aufzurufen. Dann werden sie angeblich weitere Anweisungen zum Kauf der Entschlüsselungssoftware geben. Egal wie weit der Preis geht, die Einhaltung der Anforderungen von Betrügern ist riskant - sie können in ihren Versprechungen dumm werden und Ihnen auch nach einer Zahlung keine Werkzeuge hinterlassen.

MARS-Ransomware ist ein Schadprogramm, das von Michael Gillespie entdeckt wurde. Die Art und Weise, wie Dateien verschlüsselt werden, ist anderen Infektionen dieser Art sehr ähnlich - durch Anhängen der neuen .Mars or .vyb Erweiterung, um die betroffenen Daten hervorzuheben. Die Opfer werden sehen, wie sich ihre Akten in so etwas verwandeln 1.mp4.mars or 1.mp4.vyb. Aufgrund dieser Aktionen können Dateien von Benutzern in keiner Weise geöffnet oder bearbeitet werden. Um das Problem zu beheben und Ihre Daten wiederherzustellen, bieten Cyberkriminelle an, Anweisungen in einer Textnotiz zu lesen (!!! MARS_DECRYPT.TXT) nach der Verschlüsselung erstellt. Es informiert Sie darüber, dass verschiedene auf Ihrem PC gespeicherte Datentypen mit dem Virus verschlüsselt wurden. Um es zurückzusetzen, müssen die Leute 500 $ in BTC für den Entschlüsselungsschlüssel bezahlen. Zuvor bestehen Erpresser nachdrücklich darauf, bis zu 3 Dateien zur kostenlosen Entschlüsselung zu senden, um ihre Vertrauenswürdigkeit sicherzustellen. Danach antwortet das Cyberkriminelle-Team mit dem Zahlungslink zum Kauf seiner Software. Sie können Entwickler auch per Telegramm kontaktieren und den Schlüssel sofort kaufen, ohne die kostenlose Entschlüsselung zu testen. Obwohl solche von Betrügern bereitgestellten Funktionen Vertrauen in ihre Absichten schaffen können, wird empfohlen, sich nicht auf das zu einigen, was sie sagen, da es keine tatsächliche Garantie dafür gibt, dass sie Ihre Daten sicher und unbeschädigt zurückgeben.

Datei-Engineering ist ein Beispiel für eine Ransomware-Infektion, bei der Dateien von Opfern so konfiguriert werden, dass der Zugriff auf sie eingeschränkt wird. In den meisten Fällen erkennen Benutzer keine Malware, die in die Systeme gelangt. Es war einmal, als sie sahen, dass ihre Daten geändert und für den regulären Zugriff gesperrt wurden. FileEngineering macht es so - indem es den Ausweis des Opfers, die E-Mail-Adresse des Cyberkriminellen und .verschlüsselt Erweiterung an der der Dateien. Es gibt zwei Versionen von FileEngineering, die im Web verbreitet werden. Der einzige Unterschied besteht darin, unterschiedliche E-Mail-Adressen zu verwenden, um Betrüger zu kontaktieren. Beispielsweise werden Ihre Daten möglicherweise als angezeigt 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted abhängig davon, welche Version Ihren PC betroffen hat. Anschließend erstellt der nächste Schritt der FileEngineering-Aktivität eine Notiz mit dem Namen Holen Sie sich Ihre Dateien zurück! .Txt das enthält Informationen zur Entschlüsselung. Darin werden die Informationen von einem sogenannten Sicherheitsingenieur adressiert. Er sagt, dass Sie ihn per E-Mail kontaktieren und etwas Bitcoin bezahlen sollten. Anschließend gibt er Ihre Dateien entschlüsselt zurück und gibt einige Tipps zur Verbesserung Ihrer Sicherheit. Zuvor dürfen Sie auch eine kleine Datei senden, um zu beweisen, dass er Ihre Daten entsperren kann. Das Vertrauen in Cyberkriminelle ist immer ein großes Risiko. Es liegt also an Ihnen, ob Sie es wollen oder nicht. Wenn Dateien für Sie nicht von großem Wert sind, können Sie FileEngineering einfach löschen und Ihren PC weiter verwenden.

Sun or SonnenKrypta wird als Cryptovirus-angreifendes System zur Verschlüsselung personenbezogener Daten klassifiziert. Es hat seine Reise im Oktober 2019 begonnen und ist bis heute weiterhin infiziert. Der Moment, in dem SunCrypt auf Ihrem PC erkannt werden kann, ist, wenn es Ihre Dateien durch Hinzufügen von ändert .sun Erweiterung. Es wurde auch von einer anderen Version von SunCrypt gehört, die eine Reihe von zufälligen Symbolen anstelle von Erweiterungen anwendet. Eine Änderung an so etwas 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 bedeutet, dass Sie nicht mehr auf Ihre Daten zugreifen dürfen. Um es wieder herzustellen, erstellt SunCrypt Textnotizen (DECRYPT_INFORMATION.html or YOUR_FILES_ARE_ENCRYPTED.HTML), die Lösegeldanweisungen enthalten. Obwohl sich SunCrypt hauptsächlich an englischsprachige Benutzer richtet, haben Sie die Möglichkeit, auch zwischen Deutsch, Französisch und Spanisch zu wechseln. Dies erhöht den Verkehr der Opfer bei weitem und ermöglicht Entwicklern, ihr Geschäft zu erweitern. Wie in der Notiz angegeben, müssen die Opfer den Tor-Browser installieren und auf "Gehe zu unserer Website" klicken, um die Entschlüsselungssoftware zu erwerben. Die erforderliche Gebühr kann je nach Einzelfall variieren. Unabhängig davon, wie niedrig oder hoch sie ist, empfehlen wir, ein solches Risiko nicht einzugehen.

Dharma-259 ist eine Infektion vom Typ Ransomware, die zur Dharma-Familie gehört. Diese Gruppe von Entwicklern hat den größten Einfluss auf die Malware-Branche. Mit einer Reihe von Schadprogrammen ergänzt 259 die Liste und verschlüsselt persönliche Daten mit starken Algorithmen, die den regelmäßigen Zugriff von Benutzern verhindern. Infolgedessen ändern alle Daten ihren Namen mit einer Reihe von Ziffern, einschließlich persönlicher ID, E-Mail-Adresse des Cyberkriminellen und .259 Erweiterung am Ende jeder Datei. Zum Beispiel gewöhnlich 1.mp4 wird eine Veränderung zu so etwas erleben 1.mp4.id-C279F237.[259461356@qq.com].259 und setzen Sie das Standardsymbol zurück. Sobald der Verschlüsselungsprozess abgeschlossen ist, öffnet der Virus zwangsweise ein Popup-Fenster und erstellt eine Textnotiz mit dem Namen FILES ENCRYPTED.txt, die beide Informationen zur Datenwiederherstellung enthalten. Wie sowohl im Popup als auch in der Notiz angegeben, müssen die Opfer die Betrüger per E-Mail kontaktieren und einen persönlichen Ausweis anhängen. Darüber hinaus dürfen Sie bis zu 1 Datei (weniger als 1 MB) zur kostenlosen Entschlüsselung senden. Sobald Erpresser Ihre Nachricht erhalten haben, werden Sie durch die Schritte zum Kauf von Entschlüsselungssoftware geführt. Manchmal kann die erforderliche Gebühr über die Grenzen hinaus in die Höhe schnellen und für die meisten Benutzer unerschwinglich werden. Selbst wenn Sie bereit sind, Cyberkriminelle, die ihre Software kaufen, zu bereichern, empfehlen wir Ihnen, dagegen zu sein, da die meisten Benutzer ein hohes Risiko haben, sich täuschen zu lassen, und keine Tools zur Wiederherstellung der Daten erhalten.

Entwickelt von einer Gruppe türkischer Erpresser, SifreCikis ist eine Ransomware-Infektion, die personenbezogene Daten verschlüsselt und eine Gebühr für die Wiederherstellung verlangt. Mit AES- und RSA-Algorithmen wird eine starke Verschlüsselung sensibler Daten erstellt. Infolgedessen ist die Entschlüsselung von Dateien selbst mit Tools von Drittanbietern schwierig durchzuführen. Alle von SifreCikis verschlüsselten Daten erhalten eine neue Erweiterung, die auf diesen Mustern basiert: . {zufällige alphanumerische Sequenz}. Zum Beispiel eine Datei wie 1.txt wird sich zu so etwas ändern 1.txt.E02F4934FC5A. Nachdem die Verschlüsselung abgeschlossen ist, wird den Benutzern eine Notiz mit dem Namen angezeigt ***N / A*** das enthält Lösegeldanweisungen. Leider ist der Inhalt der Notiz für Nicht-Muttersprachler schwer vorstellbar. Eine Gruppe von Forschern übersetzte ihn jedoch und skizzierte einige wichtige Informationen. Es wird behauptet, dass Sie Cyberkriminelle per E-Mail kontaktieren und Ihre persönliche ID im Nachrichtenthema anhängen sollten. Anschließend erhalten Sie weitere Anweisungen zum Kauf der Entschlüsselungssoftware (500 USD in BTC). Wenn die Erpresser keine Antwort erhalten, sollten Sie die Informationen über den Link im Tor-Browser lesen. Malware-Forscher entdeckten den Domainnamen beginnend mit sifrecikx, was mit übereinstimmt Sifre Cikis (bedeutet auf Türkisch "Chiffre / Passwort + Beenden"). Während der Untersuchung definierten die Forscher außerdem, dass SifreCikis ein Bruder von SifreCozucu sein könnte, da es mit geringfügigen Unterschieden sehr ähnlich aussieht.

Tripolis Als Ransomware-Infektion eingestuft, die zur Verschlüsselung personenbezogener Daten führen soll. Normalerweise sind Fotos, Videos, Dokumente und andere Dateien das Hauptziel, in denen vertrauliche Daten gespeichert werden können. Nachdem dieser Virus Ihr System angegriffen hat, sind alle Dateien von der betroffen .verschlüsselt Erweiterung. Einige Opfer berichteten, dass die Erweiterung wie .tripolis existiert auch, was bedeutet, dass es zwei Versionen von Tripoli Ransomware gibt. In der Tat spielt es eine Rolle, welcher in Ihren PC eingedrungen ist, da die Funktionsweise fast gleich ist. Aufgrund der Verschlüsselung wird der reguläre Zugriff auf alle Dateien eingeschränkt, und Benutzer können sie nicht mehr öffnen oder ändern. Um dies zu beheben, bieten Erpresser an, die in einer Textnotiz aufgeführten Schritte auszuführen (HOW_FIX_FILES.htm). Die Schritte verpflichten die Opfer, den Tor-Browser zu installieren und Entschlüsselungssoftware gemäß der angehängten Adresse zu erwerben. Die Entscheidung über die Zahlung muss innerhalb von 10 Tagen getroffen werden. Wir bestehen darauf, keine betrügerischen Schritte zu unternehmen, da nicht garantiert werden kann, dass Sie die versprochenen Tools erhalten. Eine bessere Möglichkeit besteht darin, Tripoli Ransomware zu löschen und die verlorenen Dateien von einem externen Backup (USB-Speicher) wiederherzustellen. Wenn Sie noch keine haben, versuchen Sie, anhand der folgenden Richtlinie auf Ihre Daten zuzugreifen.