Ransomware

Zurück in 2016, KeRanger wurde die allererste Ransomware, die Mac-Benutzer angriff. Die meisten Benutzer waren überwältigt, als sie feststellten, dass ihre Daten gesperrt sind, weil sie einen legitimen BitTorrent-Client namens aufgerufen haben Transmission. Zu dieser Zeit gelang es Cyberkriminellen, ihre Website zu hacken und einen dateiverschlüsselenden Virus in eine neue Version zu integrieren, die bald herauskommen würde. Daher haben Benutzer versehentlich einen Malware-Angriff abgefangen, indem sie die zuvor installierte Anwendung aktualisiert haben. Leider haben die Laboratorien nicht die geeignete Maßnahme zum Entschlüsseln der zugefügten Daten ermittelt. Stattdessen bieten die Opfer eine kostenpflichtige Lösung an, bei der ein Entschlüsselungsprogramm gekauft wird. Die Transaktion muss über den Tor-Browser erfolgen, indem 1 BTC (zu diesem Zeitpunkt ca. 407) bezahlt wird. Jetzt macht Bitcoin ungefähr 5,260 USD aus. Erpresser behaupten auch, dass sie jede Ihrer Fragen beantworten werden, wenn Sie wirklich motiviert sind, ein Lösegeld zu zahlen. Sie können 1 Datei auch über die in der Notiz verlinkte Tor-Seite entschlüsseln. Wie bereits erwähnt, können Tools von Drittanbietern die gesperrten Daten derzeit nicht entschlüsseln.

Während sich die meisten Ransomware-Entwickler auf die Infektion von Windows-basierten Systemen konzentrieren, AgeLocker zielt stattdessen auf Mac und Linux ab. Die Ransomware positioniert sich als geschäftsorientierter Virus, der sich auf Unternehmen ausbreitet. Es kommt jedoch auch zu Angriffen auf reguläre Benutzer. Der Verschlüsselungsprozess sieht Windows ziemlich ähnlich. Der einzige Unterschied besteht in der Verwendung unterschiedlicher Erweiterungen und Dateiformate. AgeLocker wendet seine persönliche Eingabeaufforderung an, um den Verschlüsselungsprozess auszuführen. Dateien, die von AgeLocker betroffen sind, werden anhand der Benutzernamen mit personalisierten Erweiterungen versehen. Es ist unmöglich zu identifizieren, welche Datei infiziert wurde, da AgeLocker den ursprünglichen Namen verschlüsselt und am Ende eine zufällige Erweiterung hinzufügt. Einige Leute berichteten, dass ihre Dateien mit dem hinzugefügt wurden .std2 Erweiterung und der Name der verschlüsselten Dateien beginnt mit dem alter-encryption.org URL-Adresse. Sobald alle Dateien erfolgreich gesperrt wurden, sendet der Virus eine Lösegeldnotiz (security_audit_.eml) an die E-Mail des Opfers.

AESMewLocker-Ransomware ist eine echte Bedrohung, die auf Ihre Daten abzielt, indem sie mit AES-Dateiformatalgorithmen verschlüsselt werden. Es ist nichts Besonderes für die Ransomware-Welt. Der Virus ist vor ein paar Tagen in mehreren Foren aufgetaucht und hat eine große Frage zu seinen Opfern aufgeworfen: Wie entschlüsselt man Dateien? Derzeit gibt es keine praktikablen Möglichkeiten, Dateien zu entsperren, die mit dem verschlüsselt werden .gesperrt Verlängerung nach Penetration. Alle Ihre Dateien sind nicht mehr zugänglich und können nur dann entsperrt werden, wenn Sie die Anforderungen des Betrügers erfüllen und für den Entschlüsselungsschlüssel bezahlen. Der Schlüssel selbst ist nicht billig, Sie müssen 0.05 BTC ausgeben und Erpresser kontaktieren, um Anweisungen zur Entschlüsselung zu erhalten. Alle diese Informationen sind in einem Lösegeldschein angegeben (READ_IT.txt) erstellt nach erfolgreicher Verschlüsselung.

IOCP ist eine Ransomware-Infektion, die personenbezogene Daten verschlüsselt und gesperrt hält, bis die Opfer ein sogenanntes Lösegeld zahlen. Es verwendet die zufällige 5-Buchstaben-Erweiterung, um das ursprüngliche Erscheinungsbild der Datei zu ersetzen. Sobald es hinzugefügt wurde, setzt Ihre Datei das Symbol zurück und ändert es in 1.mp4.UAKXC, zum Beispiel. Einige Leute irren sich, wenn sie sagen, dass IOCP ein Teil von ist Conti-Ransomware. Dies trifft nicht zu, da Conti AES-Algorithmen verwendet, während IOCP stattdessen Salsa20 und ChaCha20 anwendet. Nachdem Ihre Dateien blockiert wurden, erstellt der Virus einen Lösegeldschein (R3ADM3.txt) mit Anweisungen zum Entschlüsseln Ihrer Daten. Es wird gesagt, dass Sie eine E-Mail an eine der angehängten Adressen schreiben sollten. Es werden keine Zeitgrenzen festgelegt. Cyberkriminelle sagen jedoch, dass Ihre Dateien im Internet veröffentlicht werden, sofern Sie nicht für die Entschlüsselungssoftware bezahlen. Da diese Ransomware relativ neu ist, haben Experten derzeit keine praktikable Möglichkeit gefunden, Dateien kostenlos zu entschlüsseln.

Zorab ist ein Dateiverschlüsselungsvirus, der von bestimmt wird S! R1, Malware-Forscher, der eine Reihe anderer Infektionen ausgelöst hat. Die von Zorab gelieferten Konsequenzen zeigen sich deutlich in der Datenverschlüsselung und den Zahlungsanforderungen, um Entschlüsselungstools zu erhalten. Alle von Ransomware betroffenen Dateien werden entweder mit neu konfiguriert .zrb or .zorab2 Erweiterung. Zum Beispiel eine virenfreie Datei wie 1.mp4 werde einen Blick darauf werfen 1.mp4.zrb or 1.mp4.zorab2 nach dem Eindringen. Eine solche Änderung führt dazu, dass auf Ihre Dateien nicht mehr zugegriffen werden kann. Um sie zu entschlüsseln, bieten Erpresser an, die Anweisungen in einer Textnotiz zu lesen (--DECRYPT - ZORAB.txt), die gelöscht wird, nachdem die Hauptverschlüsselung abgeschlossen ist. In der Lösegeldnotiz versuchen Cyberkriminelle, verwirrte Opfer zu trösten und sie wissen zu lassen, dass ihre Daten sicher sind und wiederhergestellt werden können. Das einzige, was sie tun müssen, ist, Entschlüsselungssoftware in BTC zu kaufen, nachdem sie per E-Mail Kontakt mit Cyberkriminellen aufgenommen haben. Außerdem gibt es einen Trick, mit dem das Vertrauen der Benutzer geweckt werden soll - die kostenlose Entschlüsselung von zwei kleinen Dateien. Da es sich um betrügerische Mittel handelt, gibt es leider keine wirkliche Garantie dafür, dass Ihre Dateien als Ergebnis zurückgebracht werden. Aus diesem Grund empfehlen die meisten Cyber-Experten, Geld zu sparen und präventiv externe Backups zu erstellen, um blockierte Dateien nach dem Löschen von Malware wiederherzustellen.

Im Jahr 2020 entdeckt, CoronaLock schränkt den Zugriff auf Benutzerdaten durch Verschlüsselung mit ChaCha-, AES- und RSA-Algorithmen ein. Bei Dateien, die von dieser Ransomware kompromittiert wurden, wurde die Erweiterung auf beide geändert .Pandemie, .corona-Sperre or .biglock. Wenn beispielsweise 1.mp4 Wird vom Virus geändert, wird es zu migrieren 1.mp4.corona-Sperre or 1.mp4.biglock. Danach zeigen Erpresser Lösegeldinformationen in der Notiz an (!!! READ_ME !!!. TXT or README_LOCK.TXT), die auf dem Desktop abgelegt wird. Interessanterweise haben Personen, die mit der Erweiterung ".biglock" angegriffen werden, keine Kontaktinformationen in der Lösegeldnotiz, um mit Cyberkriminellen in Kontakt zu treten. Es scheint, als hätten die Entwickler vergessen, es vor der Veröffentlichung aufzunehmen. In der Zwischenzeit haben ".corona-lock" -Versionen diesen Nachteil nicht und enthalten E-Mails in der Textdatei. Wenn Sie eine Testentschlüsselung durchführen möchten, können Sie ihnen eine Datei senden.

Als Ransomware-Infektion eingestuft, Django ist kein Virus, mit dem man etwas anfangen kann. Sobald es auf Ihrem PC abgelegt wird, verursacht es Chaos in Bezug auf personenbezogene Daten, indem es mit speziellen Algorithmen verschlüsselt wird, mit denen Tools von Drittanbietern in Zukunft keine Argumente mehr haben. Während der Datenverschlüsselung werden Ihre Dateien mit dem geändert .djang0unchain3d Erweiterung. Dies bedeutet, dass eine Datei wie 1.mp4 wird geändert in 1.mp4.djang0unchain3d und setzen Sie das ursprüngliche Symbol zurück. Es scheint, als hätten Entwickler einen Hollywood-Film namens "Django Unchained" inspiriert und beschlossen, seinen Namen auszuleihen. Sobald die Verschlüsselung beendet ist, erhalten die Opfer Lösegeldanweisungen in Readme.txt das erklärt, wie Sie Ihre Daten entschlüsseln. Cyberkriminelle sagen, dass Sie zum Abrufen Ihrer Dateien diese über die angehängte E-Mail-Adresse kontaktieren und Ihre ID angeben sollten. Wenn Sie innerhalb von 24 Stunden keine Antwort erhalten, sollten Sie an eine andere in der Notiz angegebene E-Mail schreiben. Danach werden Sie von Erpressern aufgefordert, den Entschlüsselungsschlüssel über die BTC-Brieftasche zu erwerben, um den Zugriff auf blockierte Daten eventuell wiederherzustellen.

Kürzlich entdeckt, Dharma-2020 ist ein Ransomware-Programm, das starke kryptografische Algorithmen verwendet, um Daten zu blockieren und die Zahlung eines Lösegelds zu verlangen. Nachdem der Virus Ihren Computer angegriffen hat, verschlüsselt er die gespeicherten Dateien sofort, indem er sie mit der E-Mail-Adresse eines Verbrechers und anderen Symbolen umbenennt. Zum Beispiel, 1.mp4 wird in so etwas umbenannt 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Nach erfolgreicher Verschlüsselung zeigt das Programm ein Meldungsfenster an und erstellt eine Lösegeldnotiz namens FILES ENCRYPTED.txt. Die Malware sperrt alle Versuche, Ihre Dateien zu entschlüsseln und bestimmte Sicherheitsprogramme zu verwenden. Dann macht Dharma-2020 Ransomware einen reinen Klassiker und fordert Benutzer auf, ein Lösegeld in BTC (von 50 bis 500 US-Dollar) zu zahlen und einen Gehaltsscheck an ihre E-Mail zu senden. Danach erhalten Sie ein Entschlüsselungsprogramm.