2700 Ransomware

Die als 2700 identifizierte Ransomware-Variante wurde bei der Analyse potenzieller Malware-Bedrohungen entdeckt. Diese schädliche Software verwendet einen Dateiverschlüsselungsmechanismus, bei dem sie Dateien verschlüsselt und bestimmte Informationen an Dateinamen anhängt. Zu den angehängten Daten gehören die ID des Opfers, die E-Mail-Adresse sqlback@memeware.net und die Erweiterung „.2700“.

Zusätzlich zu seinen Verschlüsselungsvorgängen hinterlässt 2700 als Teil seiner Vorgehensweise zwei Lösegeldscheine mit den Namen „info.txt“ und „info.hta“. Diese Notizen enthalten typischerweise Anweisungen und Forderungen der Angreifer bezüglich der Lösegeldzahlung für den Entschlüsselungsschlüssel.

Um zu veranschaulichen, wie 2700 Dateinamen ändert, betrachten Sie die folgenden Beispiele: „1.png“ kann in „1.jpg.id[9ECFA74E-3524].[sqlback@memeware.net].2700“ und „2.doc“ umgewandelt werden. könnte zu „2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700 werden.“ Dieses Muster der Dateiumbenennung zeigt die konsistente Methode, die 2700 verwendet, um opferspezifische Informationen an die verschlüsselten Dateien anzuhängen. Benutzer, die auf diese Ransomware-Variante stoßen, sollten Vorsicht walten lassen und angemessene Sicherheitsmaßnahmen ergreifen, um ihre Daten und Systeme zu schützen. Die 2700-Ransomware wurde mit der Phobos- Malware-Familie in Verbindung gebracht.

Die Ransomware 2700 erpresst ihre Opfer, indem sie Daten als Geiseln nimmt

Der Lösegeldschein im Zusammenhang mit der 2700-Ransomware enthält detaillierte Anweisungen für Opfer, um über die angegebene E-Mail-Adresse sqlback@memeware.net Kontakt mit den Tätern aufzunehmen und dabei eine eindeutige ID zu verwenden, die im Betreff der Nachricht angegeben ist. Die Lösegeldforderung, die normalerweise in Bitcoins zu zahlen ist, hängt davon ab, wie schnell das Opfer auf den Lösegeldschein reagiert.

Um die Einhaltung zu fördern, bietet der Hinweis den Opfern eine begrenzte Möglichkeit, bis zu zwei Dateien zur kostenlosen Entschlüsselung einzusenden, sofern die Gesamtgröße 2 Megabyte nicht überschreitet und die Dateien als unkritisch gelten. Die Anweisungen geben den Opfern außerdem Hinweise zum Erwerb von Bitcoins, warnen davor, verschlüsselte Dateien umzubenennen und raten davon ab, eine Entschlüsselung mit Software von Drittanbietern zu versuchen, da dies zu einem dauerhaften Datenverlust führen könnte.

Bezeichnenderweise ergreift 2700 strategische Maßnahmen, um die Abwehrkräfte des Zielsystems zu gefährden. Dadurch wird die Firewall, eine grundlegende Sicherheitsmaßnahme, deaktiviert und der Gesamtschutz des Systems geschwächt. Darüber hinaus eliminiert die Ransomware die Volume-Schattenkopien und verschließt so potenzielle Wege zur Datenwiederherstellung. 2700 nutzt Schwachstellen in RDP-Diensten (Remote Desktop Protocol) aus und verschafft sich durch Brute-Force- und Wörterbuchangriffe unbefugten Zugriff, insbesondere auf Systeme mit schlecht verwalteten Kontoanmeldeinformationen.

Über seine Verschlüsselungs- und Kompromittierungsfunktionen hinaus verfügt 2700 über erweiterte Fähigkeiten. Es sammelt Standortdaten und verfügt über die Möglichkeit, bestimmte vordefinierte Standorte auszuschließen, wodurch seine Langlebigkeit und Wirkung erhöht wird. Diese vielschichtigen Taktiken machen 2700 zu einer gewaltigen Bedrohung und unterstreichen die Bedeutung umfassender Cybersicherheitspraktiken und eines geschärften Bewusstseins, um seinen schädlichen Auswirkungen entgegenzuwirken.

Es ist von größter Bedeutung, auf allen Geräten robuste Sicherheitsmaßnahmen einzurichten

Der Schutz von Geräten vor Ransomware-Bedrohungen erfordert einen umfassenden Ansatz, der eine Kombination aus vorbeugenden Maßnahmen und proaktiven Praktiken umfasst. Hier sind wesentliche Maßnahmen, die Benutzer immer ergreifen sollten, um ihre Geräte vor Ransomware zu schützen:

• Regelmäßige Backups : Das Erstellen regelmäßiger Backups Ihrer wichtigen Daten auf externen und Offline-Speichern ist von entscheidender Bedeutung. Dadurch wird sichergestellt, dass Benutzer die betroffenen Dateien auch dann wiederherstellen können, wenn das Gerät kompromittiert ist, ohne Lösegeldforderungen zu erliegen.
• Sicherheitssoftware : Installieren Sie seriöse Anti-Malware-Software auf allen Geräten. Stellen Sie dann sicher, dass die Software auf dem neuesten Stand ist und führen Sie regelmäßige Scans durch, um potenzielle Bedrohungen, einschließlich Ransomware, zu erkennen und zu entfernen.
• Software-Updates : Installieren Sie immer neue Updates für Ihre Software und Ihr Betriebssystem, immer auf dem neuesten Stand der Sicherheitspatches. Regelmäßige Updates helfen dabei, Schwachstellen zu schließen, die von Ransomware und anderer Malware ausgenutzt werden können.
• E-Mail-Sicherheitsbewusstsein : Seien Sie vorsichtig, wenn Sie E-Mail-Anhänge öffnen oder auf Links reagieren, insbesondere bei E-Mails aus unbekannten oder verdächtigen Quellen. Seien Sie wachsam gegenüber Phishing-Versuchen, einer gängigen Methode zur Initiierung von Ransomware-Angriffen.
• Benutzerschulung : Informieren Sie sich und Ihre Benutzer über die Gefahren von Ransomware. Schulen Sie sie darin, Phishing-Versuche und verdächtige Links zu erkennen und ihnen zu zeigen, wie wichtig es ist, keine Dateien von nicht vertrauenswürdigen Quellen herunterzuladen.
• Prinzip der geringsten Privilegien: Machen Sie sich das Prinzip der geringsten Privilegien zu eigen. Beschränken Sie die Zugriffsrechte der Benutzer nur auf das, was für ihre Rolle erforderlich ist, und reduzieren Sie so die potenziellen Auswirkungen, wenn ein Konto kompromittiert wird.
• Netzwerksegmentierung : Führen Sie eine Netzwerksegmentierung durch, um kritische Systeme vom Rest des Netzwerks zu isolieren. Dies verhindert die seitliche Bewegung von Ransomware innerhalb eines Netzwerks.

Durch die konsequente Umsetzung dieser Maßnahmen können Nutzer den Sicherheitsstatus ihrer Geräte deutlich maximieren und die Wahrscheinlichkeit, Opfer von Ransomware-Angriffen zu werden, minimieren.

Opfer der 2700-Ransomware erhalten den folgenden Lösegeldschein:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'