Viren

WantToCry Ransomware ist eine Art Verschlüsselungsvirus, bei dem es sich um eine Untergruppe von Malware handelt, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Dieser spezielle Kryptor zielt auf NAS-Geräte ab. Die WantToCry-Ransomware hängt das an .want_to_cry Erweiterung der Dateien, die es verschlüsselt. Dadurch wird deutlich angezeigt, welche Dateien kompromittiert wurden und ohne den Entschlüsselungsschlüssel nicht zugänglich sind. Während die von WantToCry verwendete spezifische Verschlüsselungsmethode in der bereitgestellten Quelle nicht detailliert beschrieben wird, verwendet Ransomware im Allgemeinen starke Verschlüsselungsalgorithmen wie AES (Advanced Encryption Standard) oder RSA (Rivest–Shamir–Adleman), um Dateien zu sperren, sodass sie ohne einen eindeutigen Entschlüsselungsschlüssel nicht zugänglich sind . Dabei handelt es sich um einen Kryptovirus, der Dateien sperrt und Opfer dazu zwingt, für den Wiederzugriff auf ihre Daten zu zahlen. WantToCry erstellt einen Lösegeldschein mit dem Namen !want_to_cry.txt das auf dem Computer des Opfers verbleibt. Dieser Hinweis informiert das Opfer darüber, dass seine Daten verschlüsselt wurden, und enthält Anweisungen zur Zahlung des Lösegelds, das auf 300 US-Dollar festgelegt ist. Opfer werden angewiesen, qTOX herunterzuladen und zu installieren, ein Profil zu erstellen und die Cyberkriminellen über den qTOX-Chat zu kontaktieren, um die Zahlung zu vereinbaren.

Mallox Ransomware, auch bekannt als „TargetCompany“ oder „Fargo“, ist eine Schadsoftware, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Das Unternehmen ist seit Mitte 2021 aktiv und arbeitet nach einem Ransomware-as-a-Service (RaaS)-Modell und nutzt Untergrundforen und -märkte, um Partner zu rekrutieren und seine Dienste zu bewerben. Mallox verschlüsselt Dateien mit dem ChaCha20-Verschlüsselungsalgorithmus und fügt den verschlüsselten Dateien verschiedene Dateierweiterungen hinzu, z .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx und andere. In einigen Fällen werden auch die Namen der Opfer als Erweiterung verwendet. Die Ransomware hinterlässt einen Lösegeldschein (HOW TO RESTORE FILES.txt) in jedem Verzeichnis auf dem Laufwerk des Opfers, in dem die Infektion erläutert und Kontaktinformationen für die Angreifer bereitgestellt werden. In der Notiz werden Opfer angewiesen, ihren persönlichen Ausweis an die E-Mail-Adresse des Angreifers zu senden, um Zahlungsanweisungen für das Entschlüsselungstool zu erhalten.

Press Ransomware ist eine Art von Malware, die in die Kategorie der Krypto-Ransomware fällt und darauf ausgelegt ist, Daten auf infizierten Computern zu verschlüsseln und die Dateien für die Benutzer unzugänglich zu machen. Anschließend verlangen die Angreifer eine Lösegeldzahlung als Gegenleistung für den Entschlüsselungsschlüssel, der es den Opfern ermöglichen würde, wieder Zugriff auf ihre verschlüsselten Dateien zu erhalten. Nach dem Verschlüsseln der Dateien wird Press Ransomware angehängt .press, .dwarf or .spfre Erweiterungen der Dateinamen, um sie leicht identifizierbar zu machen. Beispielsweise eine Datei mit dem ursprünglichen Namen 1.jpg würde umbenannt in 1.jpg.press nach der Verschlüsselung. Der von Press Ransomware verwendete spezifische Verschlüsselungsalgorithmus wird in den bereitgestellten Suchergebnissen nicht detailliert beschrieben. Es ist jedoch üblich, dass solche Malware robuste Verschlüsselungsmethoden wie AES oder RSA verwendet, um eine unbefugte Entschlüsselung zu verhindern. Nach Abschluss des Verschlüsselungsprozesses hinterlässt Press Ransomware einen Lösegeldschein mit dem Namen RECOVERY NFO.txt auf dem Computer des Opfers. Dieser Hinweis informiert das Opfer darüber, dass seine Dateien verschlüsselt wurden und sensible Daten herausgefiltert wurden. Die Angreifer drohen, die gestohlenen Inhalte online zu verkaufen oder preiszugeben, wenn das Lösegeld nicht gezahlt wird. Die Notiz bietet dem Opfer außerdem die Möglichkeit, ein paar verschlüsselte Dateien zur kostenlosen Entschlüsselung an die Angreifer zu senden, als Beweis dafür, dass sie die Dateien entschlüsseln können.

DiskStation Security Ransomware ist eine Art von Malware, die speziell auf Synology NAS-Geräte (Network Attached Storage) abzielt, die häufig zum Speichern großer Datenmengen, einschließlich Backups und persönlicher Dateien, verwendet werden. Der Hauptzweck dieser Ransomware besteht, wie bei anderen auch, darin, Dateien auf dem infizierten System zu verschlüsseln und vom Opfer ein Lösegeld im Austausch für den Entschlüsselungsschlüssel zu verlangen. Die Dateierweiterungen, auf die DiskStation Security Ransomware abzielt, werden in den bereitgestellten Suchergebnissen nicht detailliert aufgeführt. Ransomware zielt jedoch im Allgemeinen auf eine Vielzahl von Dateitypen ab, insbesondere auf Dateien, die mit wichtigen Dokumenten, Bildern, Videos und Datenbanken verknüpft sind. Die verwendete Verschlüsselungsmethode ist ebenfalls nicht angegeben, aber AES (Advanced Encryption Standard) wird wegen seiner Robustheit häufig von Ransomware eingesetzt. Nach der Verschlüsselung fügt Ransomware den Dateien zufällige Erweiterungen hinzu. Nach erfolgreicher Verschlüsselung von Dateien hinterlässt Ransomware normalerweise einen Lösegeldschein (!!Read Me!!.txt) auf dem Desktop oder in den betroffenen Verzeichnissen. Diese Notiz enthält Anweisungen für das Opfer zur Zahlung des Lösegelds und beinhaltet häufig die Androhung der Datenvernichtung oder Offenlegung, wenn den Forderungen nicht nachgekommen wird.

RCRU64 Ransomware ist eine Art von Malware, die Dateien auf dem Computer eines Opfers verschlüsselt und ein Lösegeld für den Entschlüsselungsschlüssel verlangt. Die Verbreitung erfolgt hauptsächlich über E-Mail-Anhänge bei Phishing-Angriffen, das Herunterladen bösartiger Software und die Ausnutzung von Schwachstellen, insbesondere über schwache RDP-Passwörter (Remote Desktop Protocol). RCRU64 ändert die Namen verschlüsselter Dateien, indem es die ID des Opfers, die E-Mail-Adresse und eine bestimmte Erweiterung anhängt. Zu den bekannten Erweiterungen im Zusammenhang mit RCRU64 gehören: .HM8 und andere Varianten wie „.TGH“, „.03rK“, „.q6BH“ und „.IalG“. Die Ransomware verwendet starke Verschlüsselungsalgorithmen, um Dateien auf dem infizierten Computer zu sperren. Spezifische Details zur Verschlüsselungsmethode werden in der Ransomware jedoch nicht bereitgestellt In den Suchergebnissen verwendet Ransomware typischerweise eine Kombination aus symmetrischer (z. B. AES) und asymmetrischer (z. B. RSA) Verschlüsselung, um Dateien zu sichern, was eine Entschlüsselung ohne den Schlüssel nahezu unmöglich macht. RCRU64 erstellt Lösegeldscheine mit dem Namen Restore_Your_Files.txt machen ReadMe.hta, die Opfer darüber informieren, dass ihre Dateien verschlüsselt wurden, und Anweisungen zur Zahlung geben. Die Notizen warnen vor Versuchen, Dateien unabhängig zu entschlüsseln, und bieten an, vor der Zahlung einige Dateien als Beweis zu entschlüsseln.

Proton ist eine Ransomware-Infektion. Der Zweck dieses Virus besteht darin, potenziell kritische Daten zu verschlüsseln und dann Geld für deren vollständige Entschlüsselung zu verlangen. Dabei verändert Proton die Dateien auch optisch – eine betroffene Datei mit Acquire kigatsu@tutanota.com E-Mail-Adresse, ID des Opfers und .Proton or .kigatsu Erweiterung zu verschlüsselten Dateien. Zum Beispiel eine Datei wie 1.pdf wird sich drehen, um so etwas auszusehen 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Nach dieser Änderung können Opfer nicht mehr auf ihre Dateien zugreifen, egal welche Änderungen vorgenommen werden. Danach lässt das Virus die README.txt Textnotiz, die Entschlüsselungsanweisungen enthält. Es heißt, die Daten des Opfers seien von Cyberkriminellen verschlüsselt (mithilfe von AES- und ECC-Algorithmen) und gestohlen worden. Das Wort „gestohlen“ deutet wahrscheinlich darauf hin, dass die verschlüsselten Daten auf die Server von Cyberkriminellen kopiert wurden und jederzeit missbraucht werden können, sofern das Lösegeld nicht gezahlt wird. Bedrohungsakteure ermutigen ihre Opfer, sich per Telegram oder E-Mail an sie zu wenden und den Entschlüsselungsdienst zu erwerben. Darüber hinaus ist es den Opfern auch gestattet, eine Datei (weniger als 1 MB) zu senden und diese kostenlos entschlüsseln zu lassen. Damit beweisen Cyberkriminelle ihre Vertrauenswürdigkeit und ihre Fähigkeit, den Zugriff auf die gesperrten Daten wiederherzustellen. Am Ende der Lösegeldforderung geben Erpresser einige Warnungen vor den Risiken an, die mit dem Versuch einhergehen, Dateien ohne die Hilfe von Ransomware-Entwicklern zu entschlüsseln.

Reload Ransomware ist eine Form von Malware, die es auf Einzelpersonen und Organisationen abgesehen hat, indem sie deren Dateien verschlüsselt und ein Lösegeld für die Entschlüsselungsschlüssel verlangt. Es ist Teil von Makop Ransomware Familie. Der Lösegeldschein beginnt normalerweise mit der Erklärung, dass alle Dateien verschlüsselt wurden und nun über das verfügen .reload Erweiterung angehängt. Die Ransomware verwendet robuste Verschlüsselungsalgorithmen, um die Dateien zu sperren, sodass sie ohne den entsprechenden Entschlüsselungsschlüssel nicht zugänglich sind. Der spezifische Verschlüsselungstyp, den Reload Ransomware verwendet, wird in den bereitgestellten Quellen nicht explizit erwähnt, aber Ransomware verwendet typischerweise AES- (Advanced Encryption Standard) oder RSA-Verschlüsselung, die beide sehr sicher und ohne den eindeutigen Entschlüsselungsschlüssel schwer zu knacken sind. Der von Reload Ransomware erstellte Lösegeldschein ist normalerweise eine Textdatei (+README-WARNING+.txt), die in Ordnern abgelegt wird, die verschlüsselte Dateien enthalten. In diesem Hinweis heißt es eindeutig, dass die Dateien verschlüsselt wurden, und es werden Anweisungen zur Zahlung des Lösegelds für die Wiederherstellung der Dateien gegeben. Die Notiz kann Details wie die Höhe des geforderten Lösegelds enthalten, normalerweise in Kryptowährungen wie Bitcoin, um die Anonymität der Transaktion zu gewährleisten.

Win32/FakeSysDef, auch bekannt als Trojan:Win32/FakeSysdef, ist eine Art von Malware, die als Trojaner klassifiziert wird. Es wurde erstmals Ende 2010 dokumentiert und zielt auf das Microsoft Windows-Betriebssystem ab. Diese Schadsoftware gibt sich als legitimes Tool zur Systemdefragmentierung aus und gibt vor, nach Hardwarefehlern im Zusammenhang mit Systemspeicher, Festplatten und Gesamtsystemleistung zu suchen. Der eigentliche Zweck besteht jedoch darin, Benutzer zu täuschen und ihnen vorzutäuschen, dass ihr System voller Fehler und Hardwareprobleme sei. Der Trojaner nimmt weitreichende Änderungen am System vor. Dazu können das Ändern der Internet Explorer-Einstellungen, das Ändern des Desktop-Hintergrunds, das Ausblenden von Desktop- und Startmenü-Links, das Deaktivieren des Windows Task-Managers und das Festlegen von Dateitypen mit geringem Risiko gehören. Während der Installation werden möglicherweise laufende Prozesse beendet und ein Neustart erzwungen. Anschließend wird versucht, jedes gestartete Programm zu blockieren, indem gefälschte Fehlermeldungen angezeigt werden und der Benutzer aufgefordert wird, die gefälschte Software zu kaufen, um die Probleme zu beheben. Die Symptome einer Win32/FakeSysDef-Infektion sind deutlich erkennbar. Benutzer werden zahlreiche falsche Warnungen sehen, die auf Systemfehler und den Anschein eines Systemscans hinweisen. Die Malware fordert den Benutzer auf, ein nicht vorhandenes „Erweitertes Modul“ zu kaufen und zu aktivieren, um die entdeckten Fehler zu beheben. Wenn der Benutzer dem Kauf zustimmt, wird er aufgefordert, Kreditkarteninformationen anzugeben, entweder über ein Formular im Antrag oder durch Weiterleitung auf eine Website.