Viren

Keversen ist ein Ransomware-artiger Virus, der auf eine starke Verschlüsselung von Daten abzielt. Damit sollen die Opfer dazu gebracht werden, das sogenannte Lösegeld zu zahlen, um die gesperrten Dateien zu entschlüsseln. Alle Anweisungen zum Wiederherstellungsprozess werden angezeigt, nachdem Ihre Dateien verschlüsselt wurden. Der Keversen-Virus benennt eine Vielzahl von personenbezogenen Daten (Fotos, Videos, Dokumente, Datenbanken etc.) mit dem .keversen Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird ändern zu 1.pdf.keversen direkt nach der Verschlüsselung. All dies geschieht im Handumdrehen, daher gibt es keine Möglichkeit, dies zu verhindern, es sei denn, Sie haben ein spezielles Anti-Ransomware-Programm installiert. Dann, gleich nachdem diese Phase der Infektion abgeschlossen ist, geht die Keversen Ransomware mit der Erstellung des !=READMY=!.txt Hinweis, der einige Worte darüber verliert, wie Sie Ihre Daten wiederherstellen können.

Info ist ein Beispiel für eine Ransomware-Infektion, die verschiedene Arten von persönlichen Daten verschlüsselt, die auf einem System gespeichert sind. Nachdem dieser Prozess offiziell abgeschlossen ist, können die Opfer nicht mehr auf ihre Daten zugreifen. Infa Ransomware weist eine gemeinsame Erweiterung (.infa) auf alle kompromittierten Dateien. Dies bedeutet eine Datei wie 1.pdf wird geändert in 1.pdf.infa oder ähnlich abhängig vom ursprünglichen Namen. Direkt nachdem alle Dateien umbenannt wurden, erzwingt der Virus eine Textnotiz namens readnow.txt auf Ihrem Desktop ablegen. Diese enthält allgemeine Informationen zur Wiederherstellung Ihrer Daten. Wie in der Notiz angegeben, wurden Dateien wie Fotos, Videos, Dokumente und andere Formate verschlüsselt. Um die angehängten Chiffren zu löschen, sollten die Opfer Cyberkriminelle kontaktieren (via stevegabriel2000@gmail.com) und kaufen Sie einen speziellen Entschlüsselungsschlüssel. Der Preis beträgt 0.0022 BTC, was ungefähr 95 $ entspricht, als wir diesen Artikel schreiben. Es wird auch erwähnt, dass 2 Tage für die Dateientschlüsselung vorgesehen sind. Wenn Sie die Zahlung nicht rechtzeitig abschließen, werden Ihre Dateien aus dem System gelöscht. Die Entscheidung, die Entschlüsselung zu bezahlen, liegt in Ihrer eigenen Entscheidung.

MedusaLocker ist einer der größten Ransomware-Aggregatoren, der eine Reihe von Malware-Infektionen verbreitet. Genau wie andere Ransomware-Programme soll der Virus auf dem PC gespeicherte Daten verschlüsseln und im Austausch für Entschlüsselungssoftware ein Lösegeld verlangen. .klock, .L54 und .ever101 sind die neuesten Versionen, die von MedusaLocker Ransomware veröffentlicht wurden. Sie sind auch die Erweiterungen, die jedem kompromittierten Teil zugewiesen sind. Zum Beispiel eine Datei wie 1.pdf wird ändern zu 1.pdf.krlock, 1.pdf.L54, oder 1.ever101 je nachdem, welche Version Ihr System gehackt hat. Es gibt keinen wirklichen Unterschied, welche Version Ihr Netzwerk angegriffen hat. Alle verwenden eine Kombination aus AES- und RSA-Algorithmen, um sichere Chiffren über die Daten zu schreiben. Der einzige Aspekt, der sich ändert, sind Lösegeld-Textnotizen, die nach der Verschlüsselung erstellt werden. Der Inhalt kann zwar unterschiedlich sein, aber immer noch mehr oder weniger dieselbe Nachricht an infizierte Opfer enthalten. Sie können Lösegeldforderungen mit dem Namen sehen Recovery_Instructions.html, HOW_TO_RECOVER_DATA.html, oder ähnliches, das zu Browserseiten führt.

Giftig ist ein Ransomware-artiger Virus, der die meisten der gespeicherten Daten sperrt und das sogenannte Lösegeld verlangt, um sie zurückzubekommen. Dieser Vorgang ist eher als Dateiverschlüsselung bekannt, da es kryptografische Verschlüsselungen gibt, die von Malware mit Hilfe von AES-256-Algorithmen angewendet werden. Neben der Verschlüsselung von Dateien auf Konfigurationsebene verändert Venomous diese auch optisch. Es kombiniert Originaldateinamen, Opfer-IDs und .giftig Erweiterung, um kompromittierte Daten umzubenennen. Zum Beispiel erscheint eine Datei wie "1.pdf" als 1.pdf.FB5MMSJUD2WP.venomous am Ende der Verschlüsselung. Kurz darauf geht Venomous dazu über, eine Textdatei namens . zu erstellen SORRY-FOR-DATEIEN.txt die Entschlüsselungsanweisungen speichert. Der Hinweis besagt, dass alle auf Ihrem System gespeicherten Daten mit starken Algorithmen infiziert wurden. Es wird auch davor gewarnt, verschlüsselte Dateien umzubenennen oder zu bearbeiten, da sie sonst beschädigt werden können. Um eine garantierte und korruptionsfreie Wiederherstellung von Daten zu gewährleisten, wird den Opfern angeboten, von Cyberkriminellen gespeicherte Entschlüsselungsschlüssel zu kaufen. Dazu sollten Nutzer ihre persönliche ID über die Telegram-App an @venomous_support senden oder Erpresser über . kontaktieren venomous.files@tutanota.com E-Mail-Addresse. Darüber hinaus wird vorgeschlagen, die kostenlose Entschlüsselung vor der Zahlung des Lösegelds zu testen. Dazu werden die Opfer angeleitet, einen Tor-Link zu öffnen, der an die Notiz angehängt ist, und 1 verschlüsselte Datenprobe hochzuladen.

Ein Teil der Dharma-Ransomware Familie, Dharma-TOR ist ein weiteres bösartiges Programm, das personenbezogene Daten verschlüsselt. Durch diese Tat zwingen Entwickler die Opfer zur Zahlung des sogenannten Lösegelds. Das erste Anzeichen dafür, dass Dharma-Tor Ihr System infiziert, spiegelt sich in neuen Dateierweiterungen wider. Cyberkriminelle weisen die persönliche ID des Opfers, die Kontaktadresse und .TOR Erweiterung am Ende jeder Datei. Zum Beispiel, 1.pdf oder alle anderen auf Ihrem System gespeicherten Dateien erhalten ein neues Aussehen von 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, oder etwas ähnliches. Kurz nachdem alle Daten erfolgreich geändert wurden, bietet Dharma-TOR ein Popup-Fenster zusammen mit einer Textdatei namens FILES ENCRYPTED.txt, die auf dem Desktop abgelegt wird. Sowohl das Popup-Fenster als auch die Textnotiz sollen die Opfer durch den Wiederherstellungsprozess führen. Angeblich sollen sich Nutzer per E-Mail, die in der Erweiterung angegeben ist, mit ihrer persönlichen ID an die Entwickler wenden. Falls keine Antwort erfolgt, werden die Opfer angeleitet, eine andere E-Mail-Adresse auszuwählen, die der Notiz beigefügt ist. Nach erfolgreichem Kontakt mit Cyberkriminellen erhalten Benutzer wahrscheinlich Zahlungsanweisungen zum Kauf der Entschlüsselung von Daten.

Benutzer infiziert mit Makop Ransomware sehen, dass ihre Daten für den regulären Zugriff gesperrt und visuell geändert werden. Es gibt verschiedene Versionen, die von Makop-Entwicklern verwendet werden, um sich auf die Opfer auszubreiten. Der einzige wirkliche Unterschied zwischen ihnen liegt in den verschiedenen Erweiterungen und E-Mail-Adressen (.Hinduismus, .gamigin, .dev0, etc.) verwendet, um die verschlüsselten Dateien umzubenennen. Der Rest kann als reine Nachbildung früherer Makop-Versionen durch eine Vorlage beschrieben werden. Sobald sich dieser Virus auf einem PC eingenistet hat, werden fast allen verfügbaren Daten eine eindeutige Opfer-ID, eine Kontakt-E-Mail und eine zufällige Erweiterung zugewiesen, je nachdem, welche Version Ihr System befallen hat. Zum Beispiel eine Datei wie 1.pdf wird in so etwas geändert 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, oder ähnlich mit anderen Erweiterungen wie .gamigin, .dev0 oder .makop. Kurz nachdem dieser Teil der Verschlüsselung abgeschlossen ist, hinterlässt der Virus eine Textnotiz namens readme-warning.txt in jeden Ordner, der kompromittierte Daten enthält. Der Hinweis listet eine Reihe von Fragen und Antworten auf, in denen Details zur Wiederherstellung erläutert werden. Benutzern wird gesagt, dass sie die einzige Möglichkeit haben, Daten wiederherzustellen – sie bezahlen für die Entschlüsselung in Bitcoins. Die Zahlungsanweisungen werden erst nach Kontaktaufnahme per E-Mail (hinduismus0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.io, oder andere Adresse). Ebenso sind Nebenstellen, Kontaktadressen ein Teil der Gleichung, die von Person zu Person unterschiedlich sind.

Gooolag ist eine Ransomware-Infektion, bei der alle gespeicherten Daten vom regulären Zugriff abgeschnitten werden, um Lösegeld für die Wiederherstellung zu verlangen. Es ist wahrscheinlicher, dass umsatzstarke Unternehmen mit dieser Ransomware-Version infiziert sind. Cyberkriminelle nutzen die .crptd Erweiterung für jede verschlüsselte Datei. Zum Beispiel ein Datenstück wie 1.xls wird ändern zu 1.xls.crptd und setzen Sie das ursprüngliche Symbol zurück. Nach dieser Verschlüsselungsphase erhalten die Opfer Entschlüsselungsanweisungen in einer Textnotiz namens How To Restore Your Files.txt. Die Notiz enthüllt eine Welt quälender Informationen in Bezug auf die Daten. Zunächst geben Cyberkriminelle an, dass 600 Gigabyte wichtiger Daten auf anonyme Server hochgeladen wurden. Dann werden die Opfer mit einigen Einschüchterungsanrufen geschlagen – DDoS-Angriffen (Distributed Denial-of-Service) auf ganze Domänen und Firmenkontakte. Um zu verhindern, dass dies passiert und die gesamten Daten verloren gehen, sind die Opfer verpflichtet, die Erpresser per E-Mail zu kontaktieren (Gooolag46@protonmail.com or guandong@mailfence.com). Sollten Entwickler einen Verdacht auf Polizei- oder Cyber-Behörden vermuten, wird der Wiederherstellungsprozess beeinträchtigt.

Kikiriki ist eine Ransomware-Infektion, die den Zugriff auf auf einem PC gespeicherte Daten isoliert. Alle wichtigen Dateien werden verschlüsselt und visuell verändert. Kikiriki-Entwickler fügen das neue hinzu .kikiriki Erweiterung zusammen mit dem Ausweis des Opfers. Zur Veranschaulichung eine Datei wie 1.pdf wird sich wahrscheinlich ändern zu 1.pdf.kikiriki.19A-052-6D8 und ähnlich. Kurz darauf erstellt der Virus eine Textdatei namens !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Ransomware-Entwickler geben an, dass es keine andere Möglichkeit gibt, Ihre Daten zu entschlüsseln, als das Lösegeld zu zahlen. Der Preis für die Entschlüsselung muss noch in weiteren Verhandlungen festgelegt werden, die Opfer sind jedoch bereits darüber informiert, dass dies in Bitcoin erfolgen soll. Um weitere Zahlungsanweisungen zu erfahren, werden Opfer gebeten, Erpresser über qTOX- oder Jabber-Plattformen zu kontaktieren. Es wird auch aufgefordert, eine kostenlose Datenentschlüsselung zu versuchen. Den Opfern steht es frei, 2 blockierte Dateien im .jpg-, .xls-, .doc- oder ähnlichen Format mit Ausnahme von Datenbanken (maximal 2 MB) zu senden. Dies sollte die Entschlüsselungsfähigkeit beweisen und das Vertrauen der Opfer erhöhen. Trotzdem ist es üblich, dass viele Cyberkriminelle ihre Opfer selbst nach Erhalt des Lösegelds täuschen. Daher ist die Zahlung des Lösegelds voller Risiken, die von jedem in Betracht gezogen werden sollten, der mit Malware infiziert ist.