Viren

FindNoteFile ist der Name einer Ransomware-Infektion, die im Juni 2021 ihre Jagd nach Geschäftsanwendern begann. Wie andere Malware dieser Art verwenden Entwickler AES+RSA-Algorithmen, um die Daten der Opfer zu verschlüsseln. FindNoteFile wurde in 3 verschiedenen Versionen verteilt gefunden. Der einzige große Unterschied zwischen ihnen ist der Name der Erweiterung, die den Dateien nach der Verschlüsselung zugewiesen wird (.findnotefile, .findthenotefile, oder .roter Punkt). Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird sein Aussehen ändern in 1.pdf.findnotefile, 1.pdf.findthenotefile, oder 1.pdf.reddot je nachdem, welche Version Ihr System angegriffen hat. Sobald die Verschlüsselung abgeschlossen ist, erstellt der Virus eine Textnotiz namens HOW_TO_RECOVER_MY_FILES.txt, die Anweisungen zum Lösegeld enthält. Der darin geschriebene Text ist voller Fehler, dennoch ist es leicht zu verstehen, was Cyberkriminelle von ihren Opfern erwarten.

SLAM ist ein Ransomware-artiger Virus, der persönliche Daten verschlüsselt, um mit verzweifelten Benutzern Geld zu verdienen. Mit anderen Worten, es schränkt den Zugriff auf Daten ein und hält sie gesperrt, bis die Opfer eine bestimmte Lösegeldgebühr zahlen. Damit Benutzer die Verschlüsselung erkennen, benennen Entwickler die kompromittierten Daten mit dem .zuschlagen Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird umbenannt in 1.pdf.slam und setzen Sie das ursprüngliche Symbol zurück (in einigen Fällen). Nachdem dieser Teil der Verschlüsselung abgeschlossen ist, öffnet SLAM ein Fenster mit Informationen über den Virus. Roter Text auf schwarzem Hintergrund sagt aus, dass alle Dateien verschlüsselt wurden. Um sie zurückzubekommen, werden die Opfer gebeten, sich mit einer der E-Mails, die der Notiz beigefügt sind, mit den Cyberkriminellen in Verbindung zu setzen. Danach erhalten Sie die notwendigen Anweisungen, um eine Lösegeldüberweisung durchzuführen. Darüber hinaus wird darauf hingewiesen, dass das Herunterfahren des PCs oder die Verwendung von Windows-Anwendungen (zB regedit, Task-Manager, Eingabeaufforderung usw.) verboten ist. Andernfalls wird Ihr PC gesperrt und kann nicht gestartet werden, bis der Virus vorhanden ist. Dasselbe wird passieren, es sei denn, Sie kontaktieren Erpresser innerhalb von 12 Stunden. Zu diesem Zeitpunkt der Untersuchung konnten Cyber-Experten noch kein Tool finden, das eine kostenlose Datenentschlüsselung ohne Einbeziehung der Cyberkriminellen ermöglicht. Die Zahlung des Lösegelds ist ebenfalls ein Risiko, da es keine Garantie dafür gibt, dass Sie Ihre Dateien zurückerhalten. Der einzig beste Weg in dieser Situation ist das Löschen von SLAM Ransomware und die Wiederherstellung Ihrer Daten über Sicherungskopien. Wenn Sie sie vor der Infektion nicht erstellt und an einem separaten Ort gespeichert haben, ist es fast unwirklich, Ihre Dateien zu entschlüsseln.

EpsilonRot ist ein weiterer Virus vom Typ Ransomware, der auf personenbezogene Daten auf infizierten Systemen abzielt. Sobald er den benötigten Datenbereich gefunden hat (normalerweise sind es Datenbanken, Statistiken, Dokumente usw.), beginnt der Virus mit der Datenverschlüsselung mit AES+RSA-Algorithmen. Der gesamte Verschlüsselungsprozess ist schwer zu erkennen, da die Opfer die Infektion erst bemerken, nachdem alle Dateien ihren Namen geändert haben. Um dies zu veranschaulichen, werfen wir einen Blick auf die Datei namens 1.pdf, das daher sein Erscheinungsbild geändert hat in 1.pdf.epsilonred. Eine solche Änderung bedeutet, dass der Zugriff auf die Datei nicht mehr erlaubt ist. Es ist auch bekannt, dass EpsilonRed nicht nur sensible Daten verfolgt, sondern auch die Erweiterung von ausführbaren und DLL-Dateien ändert, wodurch deren ordnungsgemäße Ausführung verhindert werden kann. Der Virus installiert auch einige Dateien, die Schutzschichten blockieren, Ereignisprotokolle bereinigen und andere Windows-Funktionen beeinträchtigen, sobald sich die Infektion in das System eingeschlichen hat. Am Ende der Verschlüsselung stellt EpsilonRed Lösegeldanweisungen in einer Notiz bereit. Der Name der Datei kann individuell variieren, aber die meisten Benutzer haben darüber berichtet HOW_TO_RECOVER.EpsilonRed.txt und ransom_note.txt Textnotizen werden nach der Verschlüsselung erstellt.

Gpay ist als bösartiges Programm bekannt, das eine sichere Datenverschlüsselung über gespeicherte Daten mit den Algorithmen AES-256, RSA-2048 und CHACHA ausführt. Cyberkriminelle monetarisieren ihre Software, indem sie die Opfer auffordern, Geld für die Datenentschlüsselung zu zahlen. Zuvor sind die Opfer zunächst verwirrt über plötzliche Änderungen im Erscheinungsbild der Datei. Dies liegt daran, dass Gpay alle verschlüsselten Dateien mit dem umbenennt .gpay Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird geändert in 1.pdf.gpay nachdem die Verschlüsselung abgeschlossen ist. Nachdem die Opfer diese Änderung entdeckt haben, finden sie auch eine Datei namens !!!HOW_TO_DECRYPT!!!.mht in allen infizierten Ordnern. Die Datei führt zu einer Webseite, auf der Anweisungen zum Lösegeld angezeigt werden. Es wird gesagt, dass Sie bis zu 3 Dateien senden können, um ihre Entschlüsselungsfähigkeiten kostenlos zu testen. Dies kann erfolgen, indem Sie Ihre Dateien mit persönlicher ID an die E-Mail-Adressen gsupp@jitjat.org und gdata@msgden.com senden. Das gleiche sollte getan werden, um die Zahlungsadresse zu beanspruchen und die Entschlüsselungstools zu kaufen. Wenn Sie dies nicht innerhalb von 72 Stunden tun, werden Cyberkriminelle die entführten Daten eher auf Darknet-bezogenen Plattformen veröffentlichen. Aus diesem Grund ist es äußerst gefährlich, von Gpay gefangen zu werden, da eine große Bedrohung für die Privatsphäre besteht. Je nachdem, was die Datenentschlüsselung kostet, können die Opfer entscheiden, ob sie sie brauchen oder nicht.

Durch Licht gebracht MalwareHunterTeam, Dunkle Seite ist ein Schadprogramm, das wertvolle Daten verschlüsselt, um Geld von den Opfern zu verlangen. Alle verwandten Netzwerke mit Daten, die diesem Virus ausgesetzt waren, werden gescannt und für den regulären Zugriff gesperrt. Genau wie bei anderen Ransomware-Infektionen fügt DarkSide am Ende jeder verschlüsselten Datei eine eindeutige Erweiterung hinzu. Genauer gesagt wird die zufällig für jedes Opfer generierte persönliche ID angehängt. Zur Veranschaulichung ist es wahrscheinlicher, dass sich Ihre Dateien von ändern 1.xlsx zu 1.xlsx.d0ac7d95oder ähnlich, je nachdem, welche ID Ihnen zugewiesen wurde. Sobald dieser Teil des Prozesses abgeschlossen ist, erstellen Cyberkriminelle eine Textnotiz mit Entschlüsselungsanweisungen (README.[Opfers_ID].TXT).

Entwickelt von der Makop Ransomware Familie, Mammon ist ein gefährlicher Virus, der Datenverschlüsselung für monetäre Zwecke durchführt. Dies liegt daran, dass personenbezogene Daten mit militärischen Algorithmen verschlüsselt werden und von den Opfern Lösegeld verlangt wird. Um zu zeigen, dass Ihre Daten eingeschränkt wurden, fügen Erpresser jedem Dateinamen eine Reihe von Symbolen hinzu (einschließlich zufälliger Zeichen, E-Mail-Adresse von Cyberkriminellen und .Mammon Erweiterung). Zur Veranschaulichung gefällt die Originaldatei 1.pdf wird sein Aussehen in so etwas ändern 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. Aufgrund dieser Änderung können Benutzer nicht mehr auf die Datei zugreifen. Um Anweisungen zur Wiederherstellung von Daten zu erhalten, erstellen Cyberkriminelle eine Textnotiz namens readme-warning.txt zu jedem Ordner mit verschlüsselten Daten.

Ein Teil der Phobos Ransomware Familie, Calvo ist ein weiteres Schadprogramm, das personenbezogene Daten verschlüsselt. Die Art und Weise, wie dies geschieht, besteht darin, die Dateien mit militärischen Algorithmen zu verschlüsseln. Darüber hinaus weist der Virus jeder Datei eine Reihe von Symbolen zu. Dies beinhaltet einen persönlichen Ausweis der Opfer, die E-Mail-Adresse der Cyberkriminellen und .calvo Erweiterung, um die Zeichenfolge zu beenden. Zum Beispiel eine Datei wie 1.pdf wird infiziert und geändert in 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. Die gleiche Änderung wird für den Rest der auf einem PC gespeicherten Daten vorgenommen. Sobald dieser Teil der Infektion zu Ende ist, erstellt Calvo zwei Lösegeldscheine (info.hta und info.txt), um Sie durch den Entschlüsselungsprozess zu führen.

Entwickelt von Phobos Familie, XHAMSTER ist eine Infektion vom Typ Ransomware, bei der Datenverschlüsselung ausgeführt wird. Diese führt keine Einwegverschlüsselung durch, sondern bietet die Möglichkeit, die infizierten Daten im Austausch gegen das Lösegeld freizugeben. Bei der Datenverschlüsselung sind Cyberkriminelle normalerweise die einzigen Personen, die Ihre Daten entsperren können. Aus diesem Grund bieten sie an, ihre Software zu kaufen, mit der Sie wieder auf Daten zugreifen können. Bevor wir uns mit Details befassen, ist es wichtig zu erwähnen, wie XHAMSTER Ihre Daten verschlüsselt. Neben der Sperrung des Zugriffs wird auch eine Reihe von Symbolen angehängt, die aus der ID des Opfers, dem Benutzernamen des ICQ Messenger und bestehen .XHAMSTER Erweiterung am Ende jeder Datei. Zur Veranschaulichung mag ein Datenelement wie 1.pdf wird in so etwas geändert 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER am Ende der Verschlüsselung. Sobald dieser Vorgang abgeschlossen ist, erstellt der Virus zwei Dateien mit Lösegeldanweisungen. Während einer von ihnen anrief info.hta wird als Fenster direkt vor den Benutzern angezeigt, das andere benannt info.txt befindet sich auf dem Desktop des Opfers.