Viren

0xxx ist eine Ransomware-Infektion, die verschiedene Daten mit AES+RSA-Algorithmen auf NAS-Geräten (Western Digital My Book) verschlüsselt. Diese Maßnahme wird durchgeführt, um Opfer zu zwingen, im Austausch für die gesperrten Daten das sogenannte Lösegeld zu zahlen. Genau wie andere Malware dieser Art verwendet 0xxx eine eigene Erweiterung (.0xxx), um die Daten umzubenennen. Zum Beispiel ein Dateistück mit dem Titel als 1.pdf wird sein Aussehen ändern zu 1.pdf.0xxx nach der Verschlüsselung. Alle diese Änderungen weisen darauf hin, dass Ihre Daten nicht mehr zugänglich sind. Mit anderen Worten, es gibt keine Möglichkeit mehr, es zu öffnen. Um das Problem zu beheben, werden die Opfer aufgefordert, den Anweisungen zur Lösegeldforderung innerhalb der !0XXX_DECRYPTION_README.TXT Textnotiz. Diese Notiz wird in jedem Ordner abgelegt, der verschlüsselte Dateien enthält. Es wird gesagt, dass Opfer ihre Daten entschlüsseln können, indem sie ein Lösegeld in Höhe von 300 USD in Bitcoin bezahlen. Die Nutzer werden zunächst angewiesen, sich per E-Mail an Cyberkriminelle zu wenden. Es ist notwendig, Ihre eindeutige ID zusammen mit 3 Dateien anzugeben, um die kostenlose Entschlüsselung zu testen. Sobald der Kontakt zu Cyberkriminellen hergestellt wird, erhalten die Opfer die Zahlungsdaten, um eine Geldüberweisung durchzuführen. Obwohl Erpresser behaupten, Sie hätten nicht die Absicht, Sie zu täuschen, gab es mehrere Fälle, in denen Benutzer die Entschlüsselungstools auch nach der Zahlung nicht erhalten haben.

Bevor Sie zum Umzug kommen, sollten Sie wissen, was Redeemer Ransomware tatsächlich ist. Es wird als dateiverschlüsselnder Virus klassifiziert, der den Zugriff auf Daten blockiert, die auf einem kompromittierten System gespeichert sind. Um zu zeigen, ob es verschlüsselt ist oder nicht, fügen die Entwickler von Redeemer das .redeem Erweiterung für jede der Dateien. Zum Beispiel eine Datei wie 1.pdf wird sein Aussehen ändern zu 1.pdf.redeem und setzen Sie das ursprüngliche Symbol zurück. Das System kann die Dateien nicht mehr öffnen, solange sie verschlüsselt sind. Um die Kontrolle über Ihre Daten zurückzugeben, müssen Sie eine spezielle Entschlüsselungssoftware zusammen mit einem einzigartigen Schlüssel kaufen. Genauere Informationen dazu finden Sie im Read Me.TXT Notiz, die nach Abschluss der Verschlüsselung erstellt wird. Direkt unter dem aus Zahlen gezeichneten Redeemer-Logo fordern Cyberkriminelle die Benutzer auf, 20 XMR-Kryptowährung (Monero) zu zahlen, was etwa 4000 $ für die Entschlüsselung von Daten entspricht. Sobald Sie dazu bereit sind, wenden Sie sich im nächsten Schritt an die Erpresser, indem Sie Ihren persönlichen ID-Schlüssel über ihre E-Mail-Adresse (test@test.test) anhängen. Dies ist notwendig, um die Zahlungsadresse für die Überweisung zu erhalten. Sobald sie Ihr Lösegeld für die Entschlüsselung erhalten haben, sollten Sie die versprochenen Tools zur Wiederherstellung Ihrer Daten erhalten.

Potest wird als Ransomware-Infektion eingestuft, bei der Datenbanken, Fotos, Dokumente und andere wertvolle Daten verschlüsselt werden. Der gesamte Verschlüsselungsprozess kann leicht von Benutzern erkannt werden, die sich neue Erweiterungen ansehen, die Dateien zugewiesen sind. Dieses Virus beinhaltet die .potest Erweiterung, um die gespeicherten Daten umzubenennen. Zur Veranschaulichung eine Datei namens 1.pdf wird sein Aussehen ändern zu 1.pdf.poteston als Folge der Verschlüsselung. Sobald diese Änderungen sichtbar werden, können die Opfer nicht mehr auf die Daten zugreifen. Sobald diese Änderungen sichtbar werden, können die Opfer nicht mehr auf die Daten zugreifen. Um es wiederherzustellen, erhalten Benutzer Anweisungen innerhalb der readme.txt Hinweis. In der Notiz werden die Opfer mit schlechten Nachrichten begrüßt - alle oben genannten Daten wurden verschlüsselt. Um es zurückzuerstatten, werden die Opfer angewiesen, Cyberkriminelle über ihre E-Mail-Adresse zu kontaktieren (Recovery_Potes@firemail.de). Nach der Kontaktaufnahme erhalten Sie angeblich die nötigen Angaben, um eine Geldüberweisung durchzuführen. Zuvor wird Ihnen auch angeboten, eine der gesperrten Dateien zur kostenlosen Entschlüsselung zu senden. Dies ist ein Trick, den viele Erpresser anwenden, um das Vertrauen der Opfer zu stärken. Darüber hinaus warnen Poteston-Entwickler auch davor, verschlüsselte Daten umzubenennen, da Sie deren Konfiguration möglicherweise beschädigen können.

MANSORY ist eine Ransomware-Infektion, die persönliche und geschäftliche Daten streng verschlüsselt. Dieser Prozess umfasst kryptografische Algorithmen zusammen mit dem Anhängen neuer Erweiterungen. MANSORY verwendet die .MANSORY Erweiterung auf jedes Dateistück, das eingeschränkt wurde. Zum Beispiel eine Datei wie 1.pdf wird geändert in 1.pdf.mansory. Nach solchen Änderungen sind die blockierten Dateien nicht mehr zugänglich. Um wieder Zugang zu ihnen zu erhalten, müssen die Opfer ein bestimmtes Lösegeld zahlen. Weitere Informationen dazu finden Sie in einer Textnotiz namens MANSORY-MESSAGE.txt, die nach der Verschlüsselung erstellt wird. Das erste, was Cyberkriminelle sagen, ist, dass Gigabyte an wertvollen Daten an einen sicheren Ort heruntergeladen wurden. Erpresser nutzen es als Sicherheit, um Nutzer mit der Veröffentlichung von Daten einzuschüchtern, falls sie sich weigern, Geld zu zahlen. Opfer haben ein Recht zu erfahren, wie viele Daten hochgeladen wurden, nachdem sie die Cyberkriminellen per E-Mail kontaktiert haben (selawilsen2021@tutanota.com; dennisdqalih35@tutanota.com; josephpehrhart@protonmail.com). Daher können sie den Wert von Daten analysieren, die in die Hände von Erpressern gelangt sind. Wie bereits erwähnt, führt die Nichtkontaktierung von Cyberkriminellen zur schrittweisen Veröffentlichung von Daten, die aus Ihrem Netzwerk entführt wurden. Um dies zu vermeiden, müssen die Opfer die von Cyberkriminellen gespeicherte Entschlüsselungssoftware selbst kaufen. Auf diese Weise können Sie auch alle gesperrten Daten entsperren. Darüber hinaus bieten die Entwickler von MANSORY Ransomware an, die kostenlose Entschlüsselung zu versuchen, indem sie 2 zufällige Dateien von anderen Computern an ihre E-Mail senden.

FindNoteFile ist der Name einer Ransomware-Infektion, die im Juni 2021 ihre Jagd nach Geschäftsanwendern begann. Wie andere Malware dieser Art verwenden Entwickler AES+RSA-Algorithmen, um die Daten der Opfer zu verschlüsseln. FindNoteFile wurde in 3 verschiedenen Versionen verteilt gefunden. Der einzige große Unterschied zwischen ihnen ist der Name der Erweiterung, die den Dateien nach der Verschlüsselung zugewiesen wird (.findnotefile, .findthenotefile, oder .roter Punkt). Zum Beispiel eine Datei mit dem ursprünglichen Namen 1.pdf wird sein Aussehen ändern in 1.pdf.findnotefile, 1.pdf.findthenotefile, oder 1.pdf.reddot je nachdem, welche Version Ihr System angegriffen hat. Sobald die Verschlüsselung abgeschlossen ist, erstellt der Virus eine Textnotiz namens HOW_TO_RECOVER_MY_FILES.txt, die Anweisungen zum Lösegeld enthält. Der darin geschriebene Text ist voller Fehler, dennoch ist es leicht zu verstehen, was Cyberkriminelle von ihren Opfern erwarten.

SLAM ist ein Ransomware-artiger Virus, der persönliche Daten verschlüsselt, um mit verzweifelten Benutzern Geld zu verdienen. Mit anderen Worten, es schränkt den Zugriff auf Daten ein und hält sie gesperrt, bis die Opfer eine bestimmte Lösegeldgebühr zahlen. Damit Benutzer die Verschlüsselung erkennen, benennen Entwickler die kompromittierten Daten mit dem .zuschlagen Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird umbenannt in 1.pdf.slam und setzen Sie das ursprüngliche Symbol zurück (in einigen Fällen). Nachdem dieser Teil der Verschlüsselung abgeschlossen ist, öffnet SLAM ein Fenster mit Informationen über den Virus. Roter Text auf schwarzem Hintergrund sagt aus, dass alle Dateien verschlüsselt wurden. Um sie zurückzubekommen, werden die Opfer gebeten, sich mit einer der E-Mails, die der Notiz beigefügt sind, mit den Cyberkriminellen in Verbindung zu setzen. Danach erhalten Sie die notwendigen Anweisungen, um eine Lösegeldüberweisung durchzuführen. Darüber hinaus wird darauf hingewiesen, dass das Herunterfahren des PCs oder die Verwendung von Windows-Anwendungen (zB regedit, Task-Manager, Eingabeaufforderung usw.) verboten ist. Andernfalls wird Ihr PC gesperrt und kann nicht gestartet werden, bis der Virus vorhanden ist. Dasselbe wird passieren, es sei denn, Sie kontaktieren Erpresser innerhalb von 12 Stunden. Zu diesem Zeitpunkt der Untersuchung konnten Cyber-Experten noch kein Tool finden, das eine kostenlose Datenentschlüsselung ohne Einbeziehung der Cyberkriminellen ermöglicht. Die Zahlung des Lösegelds ist ebenfalls ein Risiko, da es keine Garantie dafür gibt, dass Sie Ihre Dateien zurückerhalten. Der einzig beste Weg in dieser Situation ist das Löschen von SLAM Ransomware und die Wiederherstellung Ihrer Daten über Sicherungskopien. Wenn Sie sie vor der Infektion nicht erstellt und an einem separaten Ort gespeichert haben, ist es fast unwirklich, Ihre Dateien zu entschlüsseln.

EpsilonRot ist ein weiterer Virus vom Typ Ransomware, der auf personenbezogene Daten auf infizierten Systemen abzielt. Sobald er den benötigten Datenbereich gefunden hat (normalerweise sind es Datenbanken, Statistiken, Dokumente usw.), beginnt der Virus mit der Datenverschlüsselung mit AES+RSA-Algorithmen. Der gesamte Verschlüsselungsprozess ist schwer zu erkennen, da die Opfer die Infektion erst bemerken, nachdem alle Dateien ihren Namen geändert haben. Um dies zu veranschaulichen, werfen wir einen Blick auf die Datei namens 1.pdf, das daher sein Erscheinungsbild geändert hat in 1.pdf.epsilonred. Eine solche Änderung bedeutet, dass der Zugriff auf die Datei nicht mehr erlaubt ist. Es ist auch bekannt, dass EpsilonRed nicht nur sensible Daten verfolgt, sondern auch die Erweiterung von ausführbaren und DLL-Dateien ändert, wodurch deren ordnungsgemäße Ausführung verhindert werden kann. Der Virus installiert auch einige Dateien, die Schutzschichten blockieren, Ereignisprotokolle bereinigen und andere Windows-Funktionen beeinträchtigen, sobald sich die Infektion in das System eingeschlichen hat. Am Ende der Verschlüsselung stellt EpsilonRed Lösegeldanweisungen in einer Notiz bereit. Der Name der Datei kann individuell variieren, aber die meisten Benutzer haben darüber berichtet HOW_TO_RECOVER.EpsilonRed.txt und ransom_note.txt Textnotizen werden nach der Verschlüsselung erstellt.

Gpay ist als bösartiges Programm bekannt, das eine sichere Datenverschlüsselung über gespeicherte Daten mit den Algorithmen AES-256, RSA-2048 und CHACHA ausführt. Cyberkriminelle monetarisieren ihre Software, indem sie die Opfer auffordern, Geld für die Datenentschlüsselung zu zahlen. Zuvor sind die Opfer zunächst verwirrt über plötzliche Änderungen im Erscheinungsbild der Datei. Dies liegt daran, dass Gpay alle verschlüsselten Dateien mit dem umbenennt .gpay Erweiterung. Zur Veranschaulichung eine Datei wie 1.pdf wird geändert in 1.pdf.gpay nachdem die Verschlüsselung abgeschlossen ist. Nachdem die Opfer diese Änderung entdeckt haben, finden sie auch eine Datei namens !!!HOW_TO_DECRYPT!!!.mht in allen infizierten Ordnern. Die Datei führt zu einer Webseite, auf der Anweisungen zum Lösegeld angezeigt werden. Es wird gesagt, dass Sie bis zu 3 Dateien senden können, um ihre Entschlüsselungsfähigkeiten kostenlos zu testen. Dies kann erfolgen, indem Sie Ihre Dateien mit persönlicher ID an die E-Mail-Adressen gsupp@jitjat.org und gdata@msgden.com senden. Das gleiche sollte getan werden, um die Zahlungsadresse zu beanspruchen und die Entschlüsselungstools zu kaufen. Wenn Sie dies nicht innerhalb von 72 Stunden tun, werden Cyberkriminelle die entführten Daten eher auf Darknet-bezogenen Plattformen veröffentlichen. Aus diesem Grund ist es äußerst gefährlich, von Gpay gefangen zu werden, da eine große Bedrohung für die Privatsphäre besteht. Je nachdem, was die Datenentschlüsselung kostet, können die Opfer entscheiden, ob sie sie brauchen oder nicht.