Viren

Kashima (KashimaWare) ist ein Ransomware-Programm – die Art von bösartiger Software, die entwickelt wurde, um Daten zu verschlüsseln und Geld für ihre Rückgabe zu verlangen. Im Gegensatz zu anderen Infektionen dieser Art zielt der Virus auf bestimmte und ziemlich ungewöhnliche Dateiformate - .config, .cfg, .js, .NOOB, .lua, .lw und .tryme auch. Es modifiziert sie daher mit dem .KASHIMA Erweiterung. Zum Beispiel eine Datei wie 1.js wird ändern zu 1.js.KASHIMA, 1.cfg zu 1.cfg.KASHIMA und so weiter mit anderen betroffenen Daten. Sobald dieser Vorgang abgeschlossen ist, zeigt Kashima eine Popup-Meldung (KashimaWare WARNUNG!) über den gesamten Bildschirm.

Auch bekannt als FoxBlade, HermeticWiper ist ein verheerender Virus, der darauf ausgelegt ist, im System gespeicherte Daten zu löschen und zu verhindern, dass Computer reagieren oder vollständig funktionieren. Malware mit solchen Fähigkeiten wird normalerweise als Disk Wiper bezeichnet. HermeticWiper wurde am 24. Februar bei einem Angriff auf Regierungsbehörden und Geschäftsstrukturen in der Ukraine entdeckt. Viele Forscher glauben, dass HermeticWiper diesen Namen aufgrund eines digitalen Zertifikats erhielt, das von einer Firma namens Hermetica Digital Ltd. gestohlen wurde. Dieses Zertifikat ermöglicht es dem Virus, sich als legitime Software zu tarnen, um sie zu umgehen die Erkennung von Windows. Nach erfolgreicher Infiltration beschädigt HermeticWiper die meisten gespeicherten Daten und löscht auch Windows-Schattenkopien. Diese Funktionalität führt zu dauerhaftem Datenverlust, sodass die Opfer sie später nicht mehr wiederherstellen können. Wie bereits erwähnt, macht HermeticWiper infizierte Systeme praktisch unbrauchbar – indem es den Master Boot Record (MBR) stört, einen wichtigen Windows-Sektor, der für das ordnungsgemäße Starten des Systems verantwortlich ist. Solange HermeticWiper die Kontrolle über Ihr System behält, kann es fast alles tun, was es will – zusätzliche Malware installieren, DDoS-Angriffe starten, Tastenanschläge, Audio und Video aufzeichnen, Systemressourcen zum Schürfen von Kryptowährungen missbrauchen, Fernbefehle ausführen und viele andere störende Aktionen. HermeticWiper ist nicht der einzige, aber einer der wenigen Viren, die im Rahmen dieser geopolitischen Kampagne gegen die Ukraine verbreitet werden.

Tut mir leid, es ist nur ein Geschäft ist der Name eines Ransomware-Virus. Wie andere Infektionen dieser Art verschlüsselt es persönliche Daten und erpresst die Opfer, um ein Lösegeld zu zahlen. Der Verschlüsselungsprozess kann leicht erkannt werden, indem man sich die betroffenen Dateien ansieht. Sorryitsjustbusiness ändert ihre ursprünglichen Erweiterungen in zufällige Zeichen und setzt Symbole auf leer zurück. Zur Veranschaulichung eine Datei wie 1.pdf kann sich ändern zu 1.pdf.ws9y, 1.png zu 1.png.kqfb, und so weiter mit anderen zufälligen Erweiterungen und Dateien. Nach erfolgreicher Verschlüsselung erstellt der Virus eine Textnotiz namens read_it.txt und installiert neue Desktop-Hintergründe. Sowohl die Textnotiz als auch die Hintergrundbilder zeigen Informationen zur Wiederherstellung der Daten an. Den Opfern wird gesagt, dass es notwendig ist, einen exklusiven Schlüssel zu kaufen, um ihre Dateien zu entschlüsseln. Die Kosten für diesen Schlüssel betragen satte 150,000 $, die in Bitcoin an die beigefügte Krypto-Adresse zu zahlen sind. Nachdem die Überweisung erfolgt ist, sollten die Opfer die Betrüger informieren, indem sie eine Nachricht an ihre E-Mail-Adresse senden (sorryitsjustbusiness@protonmail.com). Wenn die Opfer dies nicht innerhalb von 24 Stunden nach der Infektion tun, verdoppelt sich der Preis für die Entschlüsselung. Es wird auch erwähnt, dass verschlüsselte Dateien nach 48 Stunden Inaktivität des Opfers gelöscht werden. Anhand der geforderten Lösegeldsumme können wir dann davon ausgehen, dass Sorryitsjustbusiness auf Unternehmen mit guten Erträgen abzielt. In der Regel wird davon abgeraten, Cyberkriminellen zu vertrauen und das geforderte Lösegeld zu zahlen.

Ein Teil der Babuk Familie, ANUBIZ SCHLIESSFACH ist eine Ransomware-Infektion zur Verschlüsselung von Daten. Dies geschieht durch die Verwendung sicherer Verschlüsselungsalgorithmen und die Änderung der Namen betroffener Daten mit dem .lomer Entschlüsselung. Zur Veranschaulichung eine Datei namens 1.pdf wird ändern zu 1.pdf.lomer und setzen Sie das ursprüngliche Symbol auf leer zurück. Nachdem der Zugriff auf Daten erfolgreich eingeschränkt wurde, erpresst der Virus die Opfer, um ein Lösegeld zu zahlen. Dies erfolgt durch die How To Restore Your Files.txt Textdatei, die auf kompromittierten Geräten erstellt wird. Die Datei besagt, dass alle wertvollen Dateien verschlüsselt und auf Server von Cyberkriminellen kopiert wurden, alle Backups wurden ebenfalls gelöscht. Opfer können möglicherweise ihre Daten wiederherstellen, indem sie spezielle Entschlüsselungssoftware kaufen, die von den Angreifern angeboten wird. Es wird angeleitet, mit Cyberkriminellen über ihre E-Mail-Adresse Kontakt aufzunehmen, um weitere Details zur Entschlüsselung zu erhalten. Infizierte Benutzer dürfen auch eine Datei an ihre Nachricht anhängen und diese kostenlos entschlüsseln lassen. Sollten Opfer diese Anfragen ignorieren und mit der Zahlung des Lösegelds verweilen, drohen Cyberkriminelle damit, gesammelte Dateien an Dark-Web-Ressourcen weiterzugeben.

Qmam4 ist eine als Kryptovirus kategorisierte Infektion mit hohem Risiko. Der Grund, warum es so genannt wird, liegt in seinem Nachangriffsverhalten – der Virus fordert Opfer auf, einen Geldbetrag in Kryptowährung zu zahlen, wenn der Zugriff auf Daten blockiert wird. Solche Infektionen werden auch als Ransomware bezeichnet. Sie verschlüsseln persönliche Daten und erpressen die Opfer, um das Lösegeld zu zahlen. Während der Verschlüsselung hängt Qmam4 eine Reihe von zufälligen Zeichen und die neue an .qmam4 Erweiterung für jede betroffene Datei. Zum Beispiel, 1.pdf wird ändern zu 1.pdf.{random sequence}.qmam4 nicht mehr zugänglich werden. Anschließend erstellt Qmam4 eine Textdatei namens C3QW_HOW_TO_DECRYPT.txt das veranschaulicht, wie Opfer ihre Daten entsperren können. Es wird gesagt, dass Opfer wichtige Daten entschlüsseln und verhindern können, dass sie auf Dark-Web-Ressourcen verkauft werden. Dazu werden die Opfer angewiesen, Cyberkriminelle über den Tor-Link zu kontaktieren. Nachdem Sie sich mit den Entwicklern in Verbindung gesetzt haben, werden Sie angeblich aufgefordert, Geld in Kryptowährung zu senden und anschließend ein spezielles Entschlüsselungstool abzurufen. Sollten Opfer sich weigern, Anweisungen zu befolgen, werden die gesammelten Daten an Dritte weitergegeben. Leider ist die Zusammenarbeit mit Cyberkriminellen möglicherweise die einzige Möglichkeit, Ihre Daten zu entschlüsseln und öffentlich zugängliche Daten zu vermeiden. Es ist weniger wahrscheinlich, dass ein Drittanbieter-Tool Ihre Daten ohne die Hilfe von Angreifern kostenlos entschlüsseln kann.

ALBASA ist ein Ransomware-artiger Virus, der darauf ausgelegt ist, im System gespeicherte Daten zu verschlüsseln und die Opfer zu erpressen, Geld für deren Rückgabe zu zahlen. Während der Verschlüsselung erhalten alle Dateien die neue .ALBASA Erweiterung und setzen Sie ihre ursprünglichen Symbole auf leer zurück. Damit einher geht auch die Erstellung von RESTORE_FILES_INFO.txt - eine Textnotiz mit Anweisungen zur Wiederherstellung blockierter Daten.

Kantopen ist eine Ransomware-Infektion, die vor kurzem entdeckt wurde. Es verschlüsselt persönliche Dateien durch Hinzufügen der .cantopen Erweiterung und Erstellung der HELP_DECRYPT_YOUR_FILES.txt Textdatei, um Opfer zur Zahlung des Lösegelds zu erpressen. Zur Veranschaulichung eine Datei mit dem Namen 1.pdf wird geändert in 1.pdf.cantopen und legen Sie das ursprüngliche Verknüpfungssymbol ab. Eine solche Änderung wird auf alle Zieldaten angewendet, sodass sie nicht mehr zugänglich sind.

Schwarz ist der Name einer Ransomware-Infektion, die erst kürzlich entdeckt wurde. Es wurde entwickelt, um Daten zu verschlüsseln und Opfer zu erpressen, Geld für ihre Rückgabe zu zahlen. Opfer können eine erfolgreiche Entschlüsselung erkennen, indem sie sich einfach ihre Dateien ansehen – die meisten von ihnen werden mit geändert .black Erweiterung und verlieren die ursprünglichen Symbole. Um ein Beispiel zu geben, 1.pdf wird geändert in 1.pdf.black, 1.png zu 1.png.black, und so weiter mit den restlichen Zieldateien. Sobald dieser Teil der Verschlüsselung abgeschlossen ist, enthält der Virus Entschlüsselungsanweisungen in einer Textnotiz (read_me.txt).