Viren

Entdeckt von einem Malware-Forscher namens S!Ri, Artemis gehört zur PewPew-Ransomware-Familie. Betrüger hinter dieser Familie haben eine Reihe von hochriskanten Infektionen verbreitet, die Datenverschlüsselung ausführen. Artemis ist die neueste Variante von Dateiverschlüsselung, die den Zugriff auf die meisten gespeicherten Daten mit mehrschichtigen kryptografischen Algorithmen unterbindet. Diese Algorithmen sorgen dafür, dass Daten gründlich verschlüsselt werden, wodurch Benutzer daran gehindert werden, sie zu öffnen. Außerdem werden von Artemis gesperrte verschlüsselte Dateien auch visuell verändert. Zum Beispiel eine Datei wie 1.pdf wird sich in sowas ändern 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis und setzen Sie das ursprüngliche Symbol zurück. Diese Zeichenfolge besteht aus der ID des Opfers, khalate@tutanota.com E-Mail-Adresse und .artemis Verlängerung am Ende. Sobald die Verschlüsselung abgeschlossen ist, fordert Artemis die info-decrypt.hta auf dem gesamten Bildschirm erscheinen. Aktuelle Versionen der Malware verwenden ReadMe-[Opfer's_ID].txt Name und Verwendung der Lösegeldforderung .ultimativ und .999 Erweiterungen (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate und 1.pdf.id[Opfer-ID].[restoredisscus@gmail.com].999).

Guten Morgen ist ein bösartiges Programm, das als Ransomware eingestuft wird. Sein Hauptziel besteht darin, Geld mit Opfern zu verdienen, deren Daten mit starken Verschlüsselungen verschlüsselt wurden. Normalerweise bemerken die Opfer die Infektion, nachdem GoodMorning kompromittierten Dateien eine neue komplexe Erweiterung zuweist (Endung mit .Guten Morgen, .GESPERRT or .ECHT). Zum Beispiel, 1.pdf und andere auf einem System gespeicherte Dateien werden in dieses Muster geändert 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Die ID innerhalb der Erweiterungen unterscheidet sich individuell, da sie für jedes der Opfer einzigartig ist. Sobald alle Dateien verschlüsselt und visuell verändert sind, erstellt der Virus Textnotizen, die entweder . genannt werden Guten Morgen.txt, ReadIt.txt or ReadMe.txt. Es soll umfassendere Anweisungen zur Wiederherstellung Ihrer Daten erläutern.

zahlen ist ein Ransomware-Programm, das Windows-Systeme infiziert, um persönliche Daten zu verschlüsseln. Es beeinflusst die Konfiguration gespeicherter Dateien und macht sie völlig unzugänglich. Dies bedeutet, dass alle Versuche, die Dateien zu öffnen, aufgrund der Verschlüsselung abgelehnt werden. Neben Konfigurationsänderungen verändert Pagar Ransomware Daten auch visuell - durch Zuweisung der .pagar40br@gmail.com Erweiterung für jede Datei unter Verschlüsselung. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.pagar40br@gmail.com und setzen Sie das ursprüngliche Symbol auf leer zurück. Nachdem alle Dateien verschlüsselt wurden, erstellt Pagar eine Lösegeldforderung namens Dringende Mitteilung.txt, die erklärt, wie Sie die Daten wiederherstellen. Ransomware-Entwickler sind prägnant und sagen, Sie haben 72 Stunden Zeit, um 0.035 BTC an die angehängte Brieftasche zu senden. Unmittelbar nach Abschluss der Zahlung sollten die Opfer die Entwickler über pagar40br@gmail.com kontaktieren und ihre eigene Wallet-Adresse und eine eindeutige ID (in der Notiz angegeben) anhängen. Leider gibt es keine Informationen darüber, ob den Entwicklern von Pagar vertraut werden kann.

Chaos ist eine beliebte Ransomware-Familie, die eine Reihe von Malware-Versionen verbreitet. Nach der Infektion werden die meisten auf einem System gespeicherten Dateien neu angepasst und sind nicht mehr zugänglich. Dies tun Cyberkriminelle, um im Austausch für die Entsperrung von Daten das sogenannte Lösegeld von den Opfern zu erpressen. Im Moment gibt es die 4 beliebtesten Versionen von Chaos - Axiom, Teddy, Encrypted und AstraLocker Ransomware. Alle 4 weisen ihre eigene Nebenstelle zu, während sie den Zugriff auf Daten blockieren. Zum Beispiel eine Datei wie 1.pdf kann sich ändern zu 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encrypted, oder 1.pdf.astralocker je nachdem, welche Version Ihr Netzwerk angegriffen hat. Anfangs hieß Chaos Ryuk .Net Ransomware, wurde dann aber aktualisiert und unter dem neuen Namen verbreitet. Darüber hinaus ahmte Ryuk.Net nur die Verschlüsselung mit AES+RSA-Algorithmen nach, verwendete aber tatsächlich Base64-Codierung, um die Struktur von Dateien zu beschädigen. Nicht ausgeschlossen, dass dies auch in neueren Versionen zu erwarten ist. Es ist auch möglich, eine Version von Chaos zu sehen, die eine Reihe zufälliger Zeichen an verschlüsselte Dateien anhängt - wie 1.pdf.us00, 1.pdf.wf1d, und so weiter. Sobald die Verschlüsselung (oder gefälschte Verschlüsselung) abgeschlossen ist, erstellt der Virus eine Textnotiz mit Anweisungen zur Wiederherstellung Ihrer Daten. Hier sind die Namen sowie der Inhalt jeder Textnotiz, die von verschiedenen Versionen erstellt wurde (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi steht für ein Ransomware-Programm, das die Erweiterungen von Dateien ändert und sie alle verschlüsselt. .tohnichi ist der Name der neuen Nebenstelle, die jedem kompromittierten Teil zugewiesen wird. Dies bedeutet, dass alle verschlüsselten Dateien so angezeigt werden 1.pdf.tohnichi am Ende des Prozesses. Das letzte Puzzleteil, das Tohnichi mitgebracht hat, ist So entschlüsseln Sie files.txt, die von Malware erstellte Textdatei zur Erläuterung der Entschlüsselungsanweisungen. Zunächst wird behauptet, dass Ihr Netzwerk gehackt wurde, was es Erpressern ermöglichte, Ihre Daten zu verschlüsseln. Dann sagen Cyberkriminelle, dass sie die einzigen Personen sind, die in der Lage sind, eine sichere und vollständige Entschlüsselung von Daten durchzuführen. Dazu werden die Opfer gebeten, die Kommunikation über den Tor-Browserlink herzustellen und für die Entschlüsselungssoftware zu bezahlen. Der Preis wird geheim gehalten und hängt davon ab, wie schnell Sie Entwickler kontaktieren. Nach Abschluss der Zahlung versprechen die Entwickler, ein einzigartiges Entschlüsselungstool zu senden, um die Daten wiederherzustellen. Darüber hinaus sagen Ransomware-Entwickler, dass sie mehrere Dateien (die keine wertvollen Informationen enthalten) entschlüsseln können, bevor sie das Lösegeld kostenlos bezahlen. Dies ist in der Tat ein gutes Angebot, aber immer noch unzureichend, um Cyberkriminellen individuell zu vertrauen.

Zeppelin wurde entdeckt von GrujaRSDies ist ein böswilliges Element, das Computer infiziert und Benutzerdaten verschlüsselt. Programme wie diese sind normalerweise so konzipiert, dass sie mit verzweifelten Benutzern Geld verdienen, deren Dateien gesperrt wurden. Wie üblich bringt die Verschlüsselung eine wesentliche Änderung in der Dateierweiterung mit sich - sie benennt sie mithilfe des hexadezimalen Zahlensystems in so etwas um 1.mp4.126-A9A-0E9. Tatsächlich kann die Erweiterung durch Symbole variieren, da der Virus zufällige Werte erzeugen kann. Sobald die Verschlüsselung abgeschlossen ist, erstellt Zepellin eine Textdatei mit dem Namen !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT auf Ihrem Desktop. In dieser Notiz beleidigen Erpresser Sie mit Lösegeldmissbrauch und rufen Sie an, sich mit ihnen in Verbindung zu setzen und einen bestimmten Schlüssel zu kaufen. Leider gibt es derzeit keine bewährte Methode, mit der Sie Ihre Daten kostenlos entschlüsseln können. Der einzige Weg, dies zu tun, besteht darin, den Anweisungen zu folgen, was ein großes Risiko darstellt. Obwohl die Entscheidung auf Ihren Schultern liegt, empfehlen wir Ihnen, Zeppelin Ransomware in der folgenden Anleitung zu löschen.

MOSNO wird als Ransomware-Infektion kategorisiert, die nach der Verschlüsselung von Daten Geld von den Opfern verlangt. Normalerweise befallen solche Infektionen alle potenziell wichtigen Dateien wie Fotos, Videos, Dokumente, Datenbanken und mehr, die für die Opfer einen gewissen Wert haben. Die Verschlüsselung kann durch neue Erweiterungen erkannt werden, die jedem kompromittierten Teil zugewiesen werden. Zum Beispiel eine Datei namens 1.pdf wird ändern zu 1.pdf.MOSN am Ende der Verschlüsselung. Dasselbe wird mit anderen Daten nach diesem Muster gesehen. Dann, kurz darauf, installiert MOSN neue Hintergrundbilder, die sich über den gesamten Bildschirm erstrecken und eine kurze Zusammenfassung des Lösegelds anzeigen. Darin heißt es, dass Opfer die Entwickler über kontaktieren sollten walter1964@mail2tor.com E-Mail-Adresse und zahlen 300 $ in Bitcoin für die Dateneinlösung. Darüber hinaus erstellt MOSN Ransomware eine Textdatei namens INFORMATION_READ_ME.txt das erklärt dasselbe, erwähnt aber auch die Anzahl der verschlüsselten Dateien und die eindeutige ID, die bei der Kontaktaufnahme mit Erpressern angehängt werden sollten.

Göttlichkeit, Matafaka und Army sind drei Ransomware-Infektionen, die von der Entwicklergruppe Xorist veröffentlicht wurden. Nachdem Ihr System erfolgreich infiziert wurde, zwingt ein Virus die meisten der gespeicherten Dateien dazu, ihren Namen zu ändern. Je nachdem, welche Version Ihren PC angegriffen hat, kann jede Bild-, Video-, Musik- oder Dokumentdatei wie 1.pdf wird ändern zu 1.pdf.divinity, 1.pdf.matafaka, oder 1.pdf.army. Nachdem jede Datei optisch geändert wurde, zeigen die oben genannten Versionen eine Textnachricht in Popup-Fenstern oder Notizblockdateien (HOW TO DECRYPT FILES.txt). Der Text unterscheidet sich für jede Version. Zur Veranschaulichung zeigen Matafaka und Army kaum Informationen zur Datenentschlüsselung. Sie erwähnen, dass Ihr PC gehackt wurde, liefern jedoch keine Informationen oder Zahlungsanweisungen, um die Daten wiederherzustellen. Der Grund dafür kann sein, dass sich diese Versionen noch in der Entwicklung und im Test befinden. Nicht ausgeschlossen, dass bereits komplette Versionen mit vollwertigen Anleitungen im Netz kursieren. Divinity ist die einzige Version aus der Liste mit Kontaktdaten, um das Lösegeld zu bezahlen. Dazu werden Nutzer gebeten, eine Direktnachricht an @lulzed Telegram oder @dissimilate auf Twitter zu schreiben. Beachten Sie, dass die Xorist Ransomware-Familie XOR- und TEA-Algorithmen verwendet, um personenbezogene Daten zu verschlüsseln. Mit solchen Verschlüsselungen verschlüsselte Daten sind ohne die Beteiligung von Cyberkriminellen weniger wahrscheinlich entschlüsselbar. Trotzdem wird ausdrücklich davon abgeraten, den Forderungen betrügerischer Zahlen nachzukommen.