Viren

Ein Teil der Dharma-Ransomware Familie, Dharma-TOR ist ein weiteres bösartiges Programm, das personenbezogene Daten verschlüsselt. Durch diese Tat zwingen Entwickler die Opfer zur Zahlung des sogenannten Lösegelds. Das erste Anzeichen dafür, dass Dharma-Tor Ihr System infiziert, spiegelt sich in neuen Dateierweiterungen wider. Cyberkriminelle weisen die persönliche ID des Opfers, die Kontaktadresse und .TOR Erweiterung am Ende jeder Datei. Zum Beispiel, 1.pdf oder alle anderen auf Ihrem System gespeicherten Dateien erhalten ein neues Aussehen von 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, oder etwas ähnliches. Kurz nachdem alle Daten erfolgreich geändert wurden, bietet Dharma-TOR ein Popup-Fenster zusammen mit einer Textdatei namens FILES ENCRYPTED.txt, die auf dem Desktop abgelegt wird. Sowohl das Popup-Fenster als auch die Textnotiz sollen die Opfer durch den Wiederherstellungsprozess führen. Angeblich sollen sich Nutzer per E-Mail, die in der Erweiterung angegeben ist, mit ihrer persönlichen ID an die Entwickler wenden. Falls keine Antwort erfolgt, werden die Opfer angeleitet, eine andere E-Mail-Adresse auszuwählen, die der Notiz beigefügt ist. Nach erfolgreichem Kontakt mit Cyberkriminellen erhalten Benutzer wahrscheinlich Zahlungsanweisungen zum Kauf der Entschlüsselung von Daten.

Benutzer infiziert mit Makop Ransomware sehen, dass ihre Daten für den regulären Zugriff gesperrt und visuell geändert werden. Es gibt verschiedene Versionen, die von Makop-Entwicklern verwendet werden, um sich auf die Opfer auszubreiten. Der einzige wirkliche Unterschied zwischen ihnen liegt in den verschiedenen Erweiterungen und E-Mail-Adressen (.Hinduismus, .gamigin, .dev0, etc.) verwendet, um die verschlüsselten Dateien umzubenennen. Der Rest kann als reine Nachbildung früherer Makop-Versionen durch eine Vorlage beschrieben werden. Sobald sich dieser Virus auf einem PC eingenistet hat, werden fast allen verfügbaren Daten eine eindeutige Opfer-ID, eine Kontakt-E-Mail und eine zufällige Erweiterung zugewiesen, je nachdem, welche Version Ihr System befallen hat. Zum Beispiel eine Datei wie 1.pdf wird in so etwas geändert 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, oder ähnlich mit anderen Erweiterungen wie .gamigin, .dev0 oder .makop. Kurz nachdem dieser Teil der Verschlüsselung abgeschlossen ist, hinterlässt der Virus eine Textnotiz namens readme-warning.txt in jeden Ordner, der kompromittierte Daten enthält. Der Hinweis listet eine Reihe von Fragen und Antworten auf, in denen Details zur Wiederherstellung erläutert werden. Benutzern wird gesagt, dass sie die einzige Möglichkeit haben, Daten wiederherzustellen – sie bezahlen für die Entschlüsselung in Bitcoins. Die Zahlungsanweisungen werden erst nach Kontaktaufnahme per E-Mail (hinduismus0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.io, oder andere Adresse). Ebenso sind Nebenstellen, Kontaktadressen ein Teil der Gleichung, die von Person zu Person unterschiedlich sind.

Gooolag ist eine Ransomware-Infektion, bei der alle gespeicherten Daten vom regulären Zugriff abgeschnitten werden, um Lösegeld für die Wiederherstellung zu verlangen. Es ist wahrscheinlicher, dass umsatzstarke Unternehmen mit dieser Ransomware-Version infiziert sind. Cyberkriminelle nutzen die .crptd Erweiterung für jede verschlüsselte Datei. Zum Beispiel ein Datenstück wie 1.xls wird ändern zu 1.xls.crptd und setzen Sie das ursprüngliche Symbol zurück. Nach dieser Verschlüsselungsphase erhalten die Opfer Entschlüsselungsanweisungen in einer Textnotiz namens How To Restore Your Files.txt. Die Notiz enthüllt eine Welt quälender Informationen in Bezug auf die Daten. Zunächst geben Cyberkriminelle an, dass 600 Gigabyte wichtiger Daten auf anonyme Server hochgeladen wurden. Dann werden die Opfer mit einigen Einschüchterungsanrufen geschlagen – DDoS-Angriffen (Distributed Denial-of-Service) auf ganze Domänen und Firmenkontakte. Um zu verhindern, dass dies passiert und die gesamten Daten verloren gehen, sind die Opfer verpflichtet, die Erpresser per E-Mail zu kontaktieren (Gooolag46@protonmail.com or guandong@mailfence.com). Sollten Entwickler einen Verdacht auf Polizei- oder Cyber-Behörden vermuten, wird der Wiederherstellungsprozess beeinträchtigt.

Kikiriki ist eine Ransomware-Infektion, die den Zugriff auf auf einem PC gespeicherte Daten isoliert. Alle wichtigen Dateien werden verschlüsselt und visuell verändert. Kikiriki-Entwickler fügen das neue hinzu .kikiriki Erweiterung zusammen mit dem Ausweis des Opfers. Zur Veranschaulichung eine Datei wie 1.pdf wird sich wahrscheinlich ändern zu 1.pdf.kikiriki.19A-052-6D8 und ähnlich. Kurz darauf erstellt der Virus eine Textdatei namens !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Ransomware-Entwickler geben an, dass es keine andere Möglichkeit gibt, Ihre Daten zu entschlüsseln, als das Lösegeld zu zahlen. Der Preis für die Entschlüsselung muss noch in weiteren Verhandlungen festgelegt werden, die Opfer sind jedoch bereits darüber informiert, dass dies in Bitcoin erfolgen soll. Um weitere Zahlungsanweisungen zu erfahren, werden Opfer gebeten, Erpresser über qTOX- oder Jabber-Plattformen zu kontaktieren. Es wird auch aufgefordert, eine kostenlose Datenentschlüsselung zu versuchen. Den Opfern steht es frei, 2 blockierte Dateien im .jpg-, .xls-, .doc- oder ähnlichen Format mit Ausnahme von Datenbanken (maximal 2 MB) zu senden. Dies sollte die Entschlüsselungsfähigkeit beweisen und das Vertrauen der Opfer erhöhen. Trotzdem ist es üblich, dass viele Cyberkriminelle ihre Opfer selbst nach Erhalt des Lösegelds täuschen. Daher ist die Zahlung des Lösegelds voller Risiken, die von jedem in Betracht gezogen werden sollten, der mit Malware infiziert ist.

FluBot ist eine bösartige Infektion, die als Banking-Trojaner eingestuft wird und zufällig in Android-basierte Smartphones eindringt. Eine große Anzahl von Benutzern meldete sich, als sie verdächtige Nachrichten mit Links zu Download-Seiten erhielten. Genau so zielt FluBot auf seine Opfer. Erpresser senden eine Reihe ähnlicher SMS-Nachrichten (in verschiedenen Sprachen), die Links zum Herunterladen einer angeblich legitimen FedEx-Anwendung enthalten. Die gefälschte Lieferwebsite teilt eine APK-Datei, die zur Installation des FluBot-Virus verwendet wird. Sobald Sie die APK-Datei starten, fordert der Installationsassistent Sie auf, viele Arten von Berechtigungen zu erteilen, z. B. das Lesen von Kontakten, das Beobachten und Senden von SMS-Nachrichten, Push-Benachrichtigungen, das Initiieren von Telefonanrufen, das Verfolgen des Standorts und andere verdächtige Berechtigungen. Eine so große Anzahl unangemessener Berechtigungen wirft eine große Sicherheitsfrage auf. Indem Sie alle genannten Aktionen zulassen, wird Ihr Smartphone vollständig von Cyberkriminellen kontrolliert. Dies wird ihnen daher helfen, sensible Daten zu sammeln, die während der Nutzung eingegeben werden. Nach dem Zugriff auf Ihr Smartphone empfängt der Virus auch Remotebefehle von Servern, um den Geräteschutz und andere Funktionen zu deaktivieren, die das Eindringen von Drittanbietern verhindern. Beachten Sie, dass FluBot auch gefälschte Fenster generieren kann, die die Eingabe von Bankinformationen (Kreditkartennummer, CVC/CVC2-Codes usw.) erfordern. Alles oben Erwähnte beweist, dass FluBot ein gefährliches Teil ist, das entfernt werden muss.

Ein Teil der ByteLocker Familie, JanusLocker ist eine Ransomware-Infektion, die den Zugriff auf auf einem System gespeicherte Dateien blockiert. Auf diese Weise erpressen Entwickler die Opfer, im Austausch für die Daten ein sogenanntes Lösegeld zu zahlen. Sowohl Zahlungs- als auch Entschlüsselungsanweisungen befinden sich in einer Textnotiz, die erstellt wird, nachdem alle Dateien verschlüsselt wurden. JanusLocker weist die .GEHACKT Erweiterung zu jedem Dateistück. Zum Beispiel, 1.pdf oder jede andere Datei, die auf Ihrem PC angegriffen wird, wird zu 1.pdf.HACKED und nicht mehr erreichbar. Es steht geschrieben, dass alle wichtigen Daten mit AES-256-Algorithmen verschlüsselt wurden. Um die angehängte Chiffre zu löschen, werden Benutzer angeleitet, für eine einzigartige Entschlüsselungssoftware zu bezahlen. Der Softwarepreis beträgt ungefähr 0.018 BTC, was zum Zeitpunkt der Erstellung dieses Artikels etwa 618 USD entspricht. Nachdem Benutzer die Geldüberweisung über die angehängte Krypto-Adresse abgeschlossen haben, sollten sie Cyberkriminelle per E-Mail (TwoHearts911@protonmail.com) mit ihrer Transaktions-ID benachrichtigen. Bald darauf sollten Benutzer die versprochenen Entschlüsselungstools von Cyberkriminellen kaufen. Leider ist dies nicht immer der Fall. Viele Ransomware-Entwickler täuschen ihre Opfer auch nach Erhalt der Zahlung. Aus diesem Grund ist es ein großes Risiko, JanusLocker mit finanziellen Mitteln zu vertrauen.

BiggyLocker ist ein Ransomware-artiger Virus, der die meisten Dateien, die auf einem System gespeichert sind, völlig unzugänglich macht. Dieser Vorgang wird eher als Datenverschlüsselung bezeichnet. Es beinhaltet starke AES- und RSA-Algorithmen, die dazu gedacht sind, Verschlüsselungen nach Militärstandard zuzuweisen, die eine Selbstentschlüsselung so gut wie unmöglich machen. Wie andere Malware dieser Art weist BiggyLocker die .$big$ zu jedem verschlüsselten Datenelement. Zum Beispiel eine Datei wie 1.pdf wird geändert in 1.pdf.$big$ und setzen Sie das ursprüngliche Symbol zurück. Sobald dieser Teil der Verschlüsselung abgeschlossen ist, erstellt der Virus eine Textnotiz namens read_me.txt. Es wird auf einem Desktop abgelegt und enthält Anweisungen zum Lösegeld. Wie die Entwickler behaupten, ist es unmöglich, die blockierten Dateien ohne ihre Hilfe wiederherzustellen. Zu diesem Zweck werden die Opfer aufgefordert, die von Cyberkriminellen gehaltene Social-Decryption-Software selbst zu bezahlen. Der Preis dafür beträgt 120$, die in Bitcoin überwiesen werden. Nachdem Opfer das geforderte Lösegeld über die Krypto-Adresse bezahlt haben, sollten sie sich daher über ihre E-Mail-Adresse an Erpresser wenden (cyberlock06@protonmail.com). Danach sollten Opfer angeblich die versprochenen Entschlüsselungstools erhalten, um wieder Zugriff auf ihre Daten zu erhalten.

Aaron ist eine von vielen Ransomware-Infektionen, die auf die Verschlüsselung personenbezogener Daten abzielen, um die Zahlung des sogenannten Lösegelds zu fordern. Diese Malware stellt sicher, dass die meisten auf Ihrem Gerät gespeicherten Daten für den regulären Zugriff gesperrt sind. Anders ausgedrückt: Von Ransomware betroffene Benutzer dürfen nicht mehr auf die Dateien zugreifen. Um zu erfahren, ob sie verschlüsselt wurden, reicht es aus, ihr Aussehen zu betrachten. Haron fügt hinzu, dass .chaddad Erweiterung für jede der Dateien und erzwingt auch das Zurücksetzen von Symbolen. Zum Beispiel eine Datei mit dem Namen 1.pdf wird geändert in 1.pdf.chaddad und lassen Sie das Symbol leer. Nachdem dieser Teil der Infektion beendet ist, erhalten die Opfer zwei Notizen (RESTORE_FILES_INFO.txt machen RESTORE_FILES_INFO.hta) mit Entschlüsselungsanweisungen. Diese Anleitung soll die Benutzer über die Verschlüsselung informieren. Darüber hinaus behaupten sie, dass Cyberkriminelle die einzigen Personen sind, die Ihre Daten wiederherstellen können. Zu diesem Zweck werden Benutzer gebeten, eine einzigartige Entschlüsselungssoftware zu erwerben, die von Erpressern selbst gehalten wird. Opfer müssen über den Tor-Browser auf einen Link zugreifen, um die erforderliche Zahlung abzuschließen. Manchmal vergessen Betrüger, die Kontakt- oder Zahlungslinks anzugeben, was eine Wiederherstellung durch Cyberkriminelle automatisch unmöglich macht.