Viren

RansomHub Ransomware ist eine Art Schadsoftware, die in die Kategorie der Dateiverschlüsselungsviren fällt. Ziel ist es, Computersysteme zu infiltrieren, Dateien zu verschlüsseln und ein Lösegeld für den Entschlüsselungsschlüssel zu verlangen. Im Gegensatz zu herkömmlicher Ransomware, die Dateien verschlüsselt und eine Zahlung verlangt, konzentriert sich RansomHouse, das mit RansomHub verbunden ist, auf das Eindringen in Netzwerke über Schwachstellen, um Daten zu stehlen und Opfer zur Zahlung zu zwingen, ohne unbedingt Verschlüsselung zu verwenden. RansomHub-Ransomware kann verschlüsselten Dateien verschiedene Dateierweiterungen hinzufügen, z. B. .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky oder eine Erweiterung mit einer Länge von 6 bis 7, die aus zufälligen Zeichen besteht. Die von RansomHub verwendeten spezifischen Verschlüsselungsalgorithmen werden nicht detailliert beschrieben, Ransomware verwendet jedoch normalerweise starke Verschlüsselungsmethoden wie AES oder RSA, um eine unbefugte Entschlüsselung zu verhindern. RansomHub erstellt Lösegeldscheine mit Anweisungen für Opfer, wie sie das Lösegeld bezahlen und möglicherweise ihre Dateien wiederherstellen können. Zu den gängigen Dateinamen für Lösegeldforderungen gehören: README_{random-string}.txt, und verschiedene andere. Der Speicherort der Lösegeldforderung befindet sich normalerweise in den Verzeichnissen verschlüsselter Dateien.

BlackLegion Ransomware ist eine Art bösartiger Software, die darauf abzielt, Dateien auf dem Computer eines Opfers zu verschlüsseln, sie unzugänglich zu machen und dann ein Lösegeld für den Entschlüsselungsschlüssel zu verlangen. Sobald BlackLegion auf einem Computer installiert ist, verschlüsselt es Dateien und fügt den Dateinamen eine eindeutige Erweiterung hinzu. Alle mit BlackLegion Ransomware verschlüsselten Dateien enthalten zufällige 8 Zeichen, gefolgt von der E-Mail-Adresse des Opfers und dem .BlackLegion Erweiterungen. Beispielsweise eine Datei mit dem Namen photo.jpg könnte umbenannt werden in photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion nach der Verschlüsselung. BlackLegion erstellt eine Lösegeldforderung in Form einer Textdatei mit dem typischen Namen DecryptNote.txt oder eine Variante davon. Diese Notiz enthält Anweisungen zur Zahlung des Lösegelds, normalerweise in Kryptowährung, und bietet möglicherweise die kostenlose Entschlüsselung einer einzelnen Datei als Beweis dafür, dass die Angreifer die Dateien des Opfers wiederherstellen können.

WantToCry Ransomware ist eine Art Verschlüsselungsvirus, bei dem es sich um eine Untergruppe von Malware handelt, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Dieser spezielle Kryptor zielt auf NAS-Geräte ab. Die WantToCry-Ransomware hängt das an .want_to_cry Erweiterung der Dateien, die es verschlüsselt. Dadurch wird deutlich angezeigt, welche Dateien kompromittiert wurden und ohne den Entschlüsselungsschlüssel nicht zugänglich sind. Während die von WantToCry verwendete spezifische Verschlüsselungsmethode in der bereitgestellten Quelle nicht detailliert beschrieben wird, verwendet Ransomware im Allgemeinen starke Verschlüsselungsalgorithmen wie AES (Advanced Encryption Standard) oder RSA (Rivest–Shamir–Adleman), um Dateien zu sperren, sodass sie ohne einen eindeutigen Entschlüsselungsschlüssel nicht zugänglich sind . Dabei handelt es sich um einen Kryptovirus, der Dateien sperrt und Opfer dazu zwingt, für den Wiederzugriff auf ihre Daten zu zahlen. WantToCry erstellt einen Lösegeldschein mit dem Namen !want_to_cry.txt das auf dem Computer des Opfers verbleibt. Dieser Hinweis informiert das Opfer darüber, dass seine Daten verschlüsselt wurden, und enthält Anweisungen zur Zahlung des Lösegelds, das auf 300 US-Dollar festgelegt ist. Opfer werden angewiesen, qTOX herunterzuladen und zu installieren, ein Profil zu erstellen und die Cyberkriminellen über den qTOX-Chat zu kontaktieren, um die Zahlung zu vereinbaren.

Mallox Ransomware, auch bekannt als „TargetCompany“ oder „Fargo“, ist eine Schadsoftware, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Das Unternehmen ist seit Mitte 2021 aktiv und arbeitet nach einem Ransomware-as-a-Service (RaaS)-Modell und nutzt Untergrundforen und -märkte, um Partner zu rekrutieren und seine Dienste zu bewerben. Mallox verschlüsselt Dateien mit dem ChaCha20-Verschlüsselungsalgorithmus und fügt den verschlüsselten Dateien verschiedene Dateierweiterungen hinzu, z .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx und andere. In einigen Fällen werden auch die Namen der Opfer als Erweiterung verwendet. Die Ransomware hinterlässt einen Lösegeldschein (HOW TO RESTORE FILES.txt) in jedem Verzeichnis auf dem Laufwerk des Opfers, in dem die Infektion erläutert und Kontaktinformationen für die Angreifer bereitgestellt werden. In der Notiz werden Opfer angewiesen, ihren persönlichen Ausweis an die E-Mail-Adresse des Angreifers zu senden, um Zahlungsanweisungen für das Entschlüsselungstool zu erhalten.

Press Ransomware ist eine Art von Malware, die in die Kategorie der Krypto-Ransomware fällt und darauf ausgelegt ist, Daten auf infizierten Computern zu verschlüsseln und die Dateien für die Benutzer unzugänglich zu machen. Anschließend verlangen die Angreifer eine Lösegeldzahlung als Gegenleistung für den Entschlüsselungsschlüssel, der es den Opfern ermöglichen würde, wieder Zugriff auf ihre verschlüsselten Dateien zu erhalten. Nach dem Verschlüsseln der Dateien wird Press Ransomware angehängt .press, .dwarf or .spfre Erweiterungen der Dateinamen, um sie leicht identifizierbar zu machen. Beispielsweise eine Datei mit dem ursprünglichen Namen 1.jpg würde umbenannt in 1.jpg.press nach der Verschlüsselung. Der von Press Ransomware verwendete spezifische Verschlüsselungsalgorithmus wird in den bereitgestellten Suchergebnissen nicht detailliert beschrieben. Es ist jedoch üblich, dass solche Malware robuste Verschlüsselungsmethoden wie AES oder RSA verwendet, um eine unbefugte Entschlüsselung zu verhindern. Nach Abschluss des Verschlüsselungsprozesses hinterlässt Press Ransomware einen Lösegeldschein mit dem Namen RECOVERY NFO.txt auf dem Computer des Opfers. Dieser Hinweis informiert das Opfer darüber, dass seine Dateien verschlüsselt wurden und sensible Daten herausgefiltert wurden. Die Angreifer drohen, die gestohlenen Inhalte online zu verkaufen oder preiszugeben, wenn das Lösegeld nicht gezahlt wird. Die Notiz bietet dem Opfer außerdem die Möglichkeit, ein paar verschlüsselte Dateien zur kostenlosen Entschlüsselung an die Angreifer zu senden, als Beweis dafür, dass sie die Dateien entschlüsseln können.

DiskStation Security Ransomware ist eine Art von Malware, die speziell auf Synology NAS-Geräte (Network Attached Storage) abzielt, die häufig zum Speichern großer Datenmengen, einschließlich Backups und persönlicher Dateien, verwendet werden. Der Hauptzweck dieser Ransomware besteht, wie bei anderen auch, darin, Dateien auf dem infizierten System zu verschlüsseln und vom Opfer ein Lösegeld im Austausch für den Entschlüsselungsschlüssel zu verlangen. Die Dateierweiterungen, auf die DiskStation Security Ransomware abzielt, werden in den bereitgestellten Suchergebnissen nicht detailliert aufgeführt. Ransomware zielt jedoch im Allgemeinen auf eine Vielzahl von Dateitypen ab, insbesondere auf Dateien, die mit wichtigen Dokumenten, Bildern, Videos und Datenbanken verknüpft sind. Die verwendete Verschlüsselungsmethode ist ebenfalls nicht angegeben, aber AES (Advanced Encryption Standard) wird wegen seiner Robustheit häufig von Ransomware eingesetzt. Nach der Verschlüsselung fügt Ransomware den Dateien zufällige Erweiterungen hinzu. Nach erfolgreicher Verschlüsselung von Dateien hinterlässt Ransomware normalerweise einen Lösegeldschein (!!Read Me!!.txt) auf dem Desktop oder in den betroffenen Verzeichnissen. Diese Notiz enthält Anweisungen für das Opfer zur Zahlung des Lösegelds und beinhaltet häufig die Androhung der Datenvernichtung oder Offenlegung, wenn den Forderungen nicht nachgekommen wird.

RCRU64 Ransomware ist eine Art von Malware, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Die Verbreitung erfolgt hauptsächlich über E-Mail-Anhänge bei Phishing-Angriffen, das Herunterladen bösartiger Software und die Ausnutzung von Schwachstellen, insbesondere über schwache RDP-Passwörter (Remote Desktop Protocol). RCRU64 ändert die Namen verschlüsselter Dateien, indem es die ID des Opfers, die E-Mail-Adresse und eine bestimmte Erweiterung anhängt. Zu den bekannten Erweiterungen im Zusammenhang mit RCRU64 gehören: .HM8 und andere Varianten wie „.TGH“, „.03rK“, „.q6BH“ und „.IalG“. Die Ransomware verwendet starke Verschlüsselungsalgorithmen, um Dateien auf dem infizierten Computer zu sperren. Spezifische Details zur Verschlüsselungsmethode werden in der Ransomware jedoch nicht bereitgestellt In den Suchergebnissen verwendet Ransomware typischerweise eine Kombination aus symmetrischer (z. B. AES) und asymmetrischer (z. B. RSA) Verschlüsselung, um Dateien zu sichern, was eine Entschlüsselung ohne den Schlüssel nahezu unmöglich macht. RCRU64 erstellt Lösegeldscheine mit dem Namen Restore_Your_Files.txt und ReadMe.hta, die Opfer darüber informieren, dass ihre Dateien verschlüsselt wurden, und Anweisungen zur Zahlung geben. Die Notizen warnen vor Versuchen, Dateien unabhängig zu entschlüsseln, und bieten an, vor der Zahlung einige Dateien als Beweis zu entschlüsseln.

Proton ist eine Ransomware-Infektion. Der Zweck dieses Virus besteht darin, potenziell kritische Daten zu verschlüsseln und dann Geld für deren vollständige Entschlüsselung zu verlangen. Dabei verändert Proton die Dateien auch optisch – eine betroffene Datei mit Acquire kigatsu@tutanota.com E-Mail-Adresse, ID des Opfers und .Proton or .kigatsu Erweiterung zu verschlüsselten Dateien. Zum Beispiel eine Datei wie 1.pdf wird sich drehen, um so etwas auszusehen 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Nach dieser Änderung können Opfer nicht mehr auf ihre Dateien zugreifen, egal welche Änderungen vorgenommen werden. Danach lässt das Virus die README.txt Textnotiz, die Entschlüsselungsanweisungen enthält. Es heißt, die Daten des Opfers seien von Cyberkriminellen verschlüsselt (mithilfe von AES- und ECC-Algorithmen) und gestohlen worden. Das Wort „gestohlen“ deutet wahrscheinlich darauf hin, dass die verschlüsselten Daten auf die Server von Cyberkriminellen kopiert wurden und jederzeit missbraucht werden können, sofern das Lösegeld nicht gezahlt wird. Bedrohungsakteure ermutigen ihre Opfer, sich per Telegram oder E-Mail an sie zu wenden und den Entschlüsselungsdienst zu erwerben. Darüber hinaus ist es den Opfern auch gestattet, eine Datei (weniger als 1 MB) zu senden und diese kostenlos entschlüsseln zu lassen. Damit beweisen Cyberkriminelle ihre Vertrauenswürdigkeit und ihre Fähigkeit, den Zugriff auf die gesperrten Daten wiederherzustellen. Am Ende der Lösegeldforderung geben Erpresser einige Warnungen vor den Risiken an, die mit dem Versuch einhergehen, Dateien ohne die Hilfe von Ransomware-Entwicklern zu entschlüsseln.