Viren

Die Anzahl der Anfragen im Zusammenhang mit neuen Ransomware-Aktivitäten wächst jeden Tag mit neuen Infektionen. Diesmal beschäftigen sich Benutzer mit Tycx Ransomware, das ist ein neues und gefährliches Stück, das von der Djvu/STOP Familie. Diese spezielle Version begann in der zweiten Märzhälfte 2023, Computer zu infizieren. Seine jüngste Aktivität hat viele persönliche Daten mit starken Algorithmen verschlüsselt. Obwohl Tycx Ransomware noch nicht vollständig untersucht wurde, gibt es einige Dinge, die bereits klar sind. Beispielsweise rekonfiguriert der Virus verschiedene Arten von Daten (Bilder, Dokumente, Datenbanken usw.) und ändert die ursprünglichen Erweiterungen in .tycx. Dies bedeutet, dass alle Datentypen ihren ursprünglichen Namen speichern, die Haupterweiterung jedoch in etwa so ändern "1.pdf.tycx". Sobald der Verschlüsselungsprozess abgeschlossen ist, können Sie nicht mehr auf Ihre Daten zugreifen. Um es wiederzugewinnen, haben Erpresser die Erstellung identischer Notizen per Skript erstellt, die in verschlüsselten Ordnern oder auf einem Desktop abgelegt wurden. Der Name der Notiz ist normalerweise _readme.txt, enthält detaillierte Anweisungen zum Wiederherstellen Ihrer Daten.

Tywd Ransomware (die neuste Version von STOP or Djvu Ransomware) ist extrem schädlich und einer der aktivsten Verschlüsselungsviren. Mehr als die Hälfte der Ransomware-Übermittlungen an ID-Ransomware (Ransomware-Identifikationsdienst) stammen von Opfern von STOP Ransomware. Obwohl es seit einigen Jahren im Umlauf ist, nimmt die Zahl der durch Tywd Ransomware verursachten Infektionen weiter zu. Es mag etwas ironisch sein, aber die meisten Opfer sind (im Moment) Benutzer von Raubkopien. Die Version des Virus, die heute in Betracht gezogen wird, fügt hinzu .tywd Erweiterung auf Dateien. Das Schadprogramm erstellt auch eine Textdatei (aufgerufen) _readme.txt) in jedem infizierten Ordner, der dem Benutzer erklärt, dass sein Computer infiziert ist und er nicht auf seine Daten zugreifen kann, bis er ein Lösegeld von 980 US-Dollar bezahlt hat. Bezahlt der Nutzer innerhalb von 72 Stunden nach der Infektion, reduziert sich das Lösegeld auf 490 US-Dollar. Das Beispiel dieser Lösegeldforderung ist unten dargestellt.

Darj Ransomware ist ein weit verbreiteter Verschlüsselungsvirus und Erpresser, der auf wertvolle persönliche Dateien abzielt. Gehört STOP/Djvu Malware-Gruppe. Nach der Infektion und Datenverschlüsselung beginnen Hacker, das Lösegeld zu erpressen. Es gab mehr als 600 Versionen der Ransomware, jede Version wird leicht modifiziert, um den Schutz zu umgehen, aber die Hauptspuren bleiben gleich. Die Malware verwendet AES-256 im CFB-Modus. Kurz nach dem Start verbindet sich die ausführbare Kryptographie-Datei der STOP-Familie mit C&C, ruft den Verschlüsselungsschlüssel und die Infektions-ID für den PC des Opfers ab. Daten werden über einfaches HTTP in Form von JSON übertragen. Wenn C&C nicht verfügbar ist (der PC ist nicht mit dem Internet verbunden, der Server selbst funktioniert nicht), verwendet der Kryptograf den fest codierten Schlüssel und die darin enthaltene ID und führt eine Offline-Verschlüsselung durch. In diesem Fall können Sie die Dateien entschlüsseln, ohne ein Lösegeld zu zahlen. Variationen von STOP Ransomware können durch Erpresserbriefe und Erweiterungen, die verschlüsselten Dateien hinzugefügt werden, voneinander unterschieden werden. Für STOP Ransomware, die heute erforscht wird, lautet die Erweiterung: .darj. Die Lösegeldnotizdatei _readme.txt wird unten im Textfeld und Bild dargestellt. Im folgenden Artikel erklären wir, wie Sie Darj Ransomware vollständig entfernen und wie Sie .darj-Dateien entschlüsseln oder wiederherstellen können.

Basn ist eine Ransomware-Infektion, die auf verschiedene Unternehmen abzielt. Bei einer Infiltration durchsucht es das System schnell nach potenziell wichtigen Dateien (z. B. Dokumente, Datenbanken, Videos, Bilder usw.) und verschlüsselt den Zugriff darauf. Während dieses Vorgangs weist der Virus auch seinen eigenen zu .basn Erweiterung, um die blockierten Daten hervorzuheben. Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.xlsx wird ändern zu 1.xlsx.basn und setzen Sie das Symbol auf leer zurück. Nach erfolgreicher Verschlüsselung legt der Dateiverschlüsseler auch eine Textdatei mit dem Namen ab unlock your files.txt mit Entschlüsselungsanweisungen im Inneren. In der Notiz wird deutlich gemacht, dass die Daten des Opfers verschlüsselt und auf die Server von Cyberkriminellen extrahiert wurden. Um die verschlüsselten Daten zu entsperren und ein Durchsickern von Daten an zwielichtige Ressourcen/Zahlen zu verhindern, fordern Erpresser von den Opfern die Zahlung eines Lösegelds in Bitcoin- oder Monero-Kryptowährung. Der Preis wird in der Notiz nicht offengelegt, da er wahrscheinlich je nach Menge und Wert der verschlüsselten Daten variiert. Leider sind Cyberkriminelle normalerweise die einzigen Personen, die in der Lage sind, den Zugriff auf Daten vollständig und sicher zu entschlüsseln, es sei denn, der Virus weist schwerwiegende Schwachstellen auf, die ausgenutzt werden könnten. Derzeit ist kein Dritter bekannt, der die von Basn Ransomware angewendete Verschlüsselung umgehen kann. Die einzigen verfügbaren Optionen für die Datenwiederherstellung sind entweder die Zusammenarbeit mit Ransomware-Entwicklern oder das Abrufen von Daten aus vorhandenen Sicherungskopien. Backups sind Kopien von Daten, die auf externen Geräten wie USB-Laufwerken, externen Festplatten oder SSDs gespeichert sind. Der einzige Nachteil der Selbstwiederherstellung ist, dass Angreifer die gesammelten Daten tatsächlich veröffentlichen und damit den Ruf einiger Unternehmen schädigen können, wenn sie dies tatsächlich beabsichtigt haben.

Dazx Ransomware ist eine Version von STOP/Djvu Ransomware-Familie. Es ist eine Art von Malware, die die Dateien auf dem Computer eines Opfers verschlüsselt und eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel verlangt. Wenn die Dazx Ransomware einen Computer infiziert, verschlüsselt sie die Dateien des Opfers mit einem starken Verschlüsselungsalgorithmus, wodurch sie für das Opfer unzugänglich werden. Malware verwendet einen symmetrischen Verschlüsselungsalgorithmus, um die Dateien des Opfers zu verschlüsseln. Insbesondere verwendet es die Salsa20-Stream-Chiffre, um die Daten zu verschlüsseln. Der Verschlüsselungsschlüssel wird für jedes Opfer zufällig generiert und auf dem Server des Angreifers gespeichert. Den verschlüsselten Dateien wird eine neue Erweiterung zu ihren Dateinamen hinzugefügt, z .dazx. Die Dazx Ransomware erstellt auch eine Lösegeldforderungsdatei namens _readme.txt in jedem Ordner, der verschlüsselte Dateien enthält. Diese Datei enthält Anweisungen zur Zahlung des Lösegelds, um den Entschlüsselungsschlüssel zu erhalten. Die Lösegeldforderung warnt das Opfer auch vor dem Versuch, die Dateien mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.

Code ist der Name einer neuen Ransomware-Variante, die Organisationen infiziert, um Daten zu verschlüsseln und im Gegenzug für den Entschlüsselungsschlüssel Geld zu erpressen. Während der Verschlüsselung hängt es die .code Erweiterung und erstellt eine Lösegeldforderung (genannt !!!HOW_TO_DECRYPT!!!.txt) mit Anweisungen zum Entschlüsseln der blockierten Daten. So würde eine infizierte Datei nach der Verschlüsselung aussehen: 1.pdf.code, 2.png.code, und so weiter mit anderen Dateitypen, auf die der Virus abzielt. In der Notiz versuchen Cyberkriminelle, die Opfer davon zu überzeugen, das Lösegeld für die Entschlüsselung zu zahlen. Angeblich müssen Opfer den TOX-Messenger installieren und Erpresser mit der bereitgestellten TOX-ID anschreiben. Sofern die Opfer diese Anforderungen nicht erfüllen und sich weigern, eine Entschlüsselung zu kaufen, drohen Bedrohungsakteure damit, die verschlüsselten Daten willkürlich mit anderen Parteien zu teilen oder sie im Darknet und anderen zwielichtigen Ressourcen zu verkaufen/zu verkaufen.

Dapo Ransomware ist eine Variante der STOP/Djvu Ransomware, eine Art Malware, die Dateien auf dem Computer eines Opfers verschlüsselt und eine Lösegeldzahlung im Austausch für einen Entschlüsselungsschlüssel verlangt, um die Dateien wiederherzustellen. Während der Verschlüsselung ändert diese Malware Dateierweiterungen in .dapo. Nachdem der Verschlüsselungsprozess abgeschlossen ist, hinterlässt die Ransomware eine Lösegeldforderung auf dem Desktop des Opfers und in jedem Ordner, der verschlüsselte Dateien enthält. Die Notiz enthält Anweisungen zur Zahlung des Lösegelds, um den Entschlüsselungsschlüssel zu erhalten. Die Angreifer verlangen in der Regel eine Zahlung in Kryptowährung wie Bitcoin. Es ist wichtig zu beachten, dass es keine Garantie dafür gibt, dass die Zahlung des Lösegelds zur Entschlüsselung der Dateien führt. In einigen Fällen haben die Opfer das Lösegeld bezahlt, aber nie den Entschlüsselungsschlüssel erhalten, während sich in anderen Fällen herausgestellt hat, dass der von den Angreifern bereitgestellte Entschlüsselungsschlüssel unwirksam ist. Der von Dapo Ransomware verwendete Dateiname der Lösegeldforderung folgt der gleichen Namenskonvention. Die Datei wird benannt _readme.txt. Die Lösegeldforderung enthält Anweisungen zur Zahlung des Lösegelds, um den Entschlüsselungsschlüssel zu erhalten, und enthält normalerweise eine E-Mail-Adresse, über die das Opfer mit den Angreifern kommunizieren kann.

Qarj ist eine neue Ransomware-Variante, die von einem Template von Notorious entwickelt und veröffentlicht wurde STOP/Djvu Familie. Diese spezielle Variante wurde im März 2023 veröffentlicht. Da es sich um einen Dateiverschlüsselungsvirus handelt, blockiert er den Zugriff auf persönliche Daten mithilfe sicherer Verschlüsselungsalgorithmen. Das bedeutet, dass Dateien, die auf einem PC gespeichert sind, von Benutzern nicht mehr geöffnet werden, bis sie entschlüsselt sind. Derzeit gibt es kleine Chancen für die Entschlüsselung von Dateien, die von Qarj verschlüsselt wurden. Nur 1-2 % der Fälle sind entschlüsselbar, wenn bestimmte Bedingungen erfüllt sind. Befolgen Sie alle Anweisungen auf dieser Seite, bis Sie einige Daten wiederhergestellt haben. Um zu zeigen, dass alle Dateien gesperrt wurden, fügen die Entwickler die Datei new .qarj Erweiterung auf jede der Dateien. Zum Beispiel ein Dateibeispiel wie 1.pdf wird ändern zu 1.pdf.qarj und setzen Sie das Symbol schließlich zurück. Nachdem dieser Teil der Verschlüsselung abgeschlossen ist, erstellt der Virus eine Textnotiz (_readme.txt) mit Lösegeld-Anweisungen.