Aram-Ransomware

Aram-Ransomware-Beschreibung

Die Aram Ransomware ist eine neue Bedrohung, die als Teil der VoidCrypt-Malware-Familie eingestuft wurde. Die Bedrohung weist zwar keine nennenswerten Abweichungen von einer typischen Variante der VoidCrypt Ransomware- Familie auf, birgt aber dennoch ein enormes Schadenspotenzial. Wenn die Aram Ransomware auf dem Zielcomputer erfolgreich bereitgestellt wird, wird die an einem Verschlüsselungsprozess mit einem starken kryptografischen Algorithmus beteiligt. Infolgedessen werden zahlreiche Dateitypen, die auf dem infizierten Gerät gespeichert sind, gesperrt und unbrauchbar gemacht.

Während der Verschlüsselung wird der Name jeder gesperrten Datei erheblich geändert. Die Aram Ransomware hängt eine E-Mail-Adresse an, die von den Angreifern kontrolliert wird, gefolgt von einer zufälligen Zeichenfolge, die dem jeweiligen Opfer zugewiesen wird, und schließlich ".Aram" als neue Dateierweiterung. Die betreffende E-Mail-Adresse lautet 'dataunlock@criptext.com'.

Wenn der Verschlüsselungsprozess abgeschlossen ist, wird Aram eine Lösegeldforderungsnachricht auf dem kompromittierten Gerät ablegen. Die Lösegeldforderung befindet sich in einer Textdatei namens "Decrypt-info.txt".

Übersicht der Lösegeldforderung

Laut dem Aram Ransomware-Hinweis sollten die betroffenen Benutzer als Erstes eine Datei namens 'prvkey*.txt.key' suchen, in der das *-Symbol in der eigentlichen Datei durch eine Zahl ersetzt werden könnte. Anscheinend sind die Informationen in dieser Datei entscheidend für die Wiederherstellung der gesperrten Dateien, und ohne sie können selbst die Hacker die Daten nicht erfolgreich entschlüsseln. Normalerweise wird die Datei im Verzeichnis C:\ProgramData\ erstellt.

Andere in der Notiz erwähnte Details umfassen die Option, eine einzelne gesperrte Datei an die Cyberkriminellen zu senden, die versprechen, sie kostenlos zu entschlüsseln. Die einzige Voraussetzung ist, dass die Datei keine wichtigen Informationen enthält. Um dies zu tun und zusätzliche Anweisungen zu erhalten, sollen die Opfer eine Nachricht an die beiden in der Notiz angegebenen E-Mail-Adressen "dataunlock@criptext.com" und "dataunlocks@criptext.com" senden. Die Lösegeldzahlung an die Hacker sollte mit der Kryptowährung Bitcoin erfolgen.

Der vollständige Text des Hinweises lautet:

' Alle Ihre Dateien wurden verschlüsselt

Sie müssen bezahlen, um Ihre Dateien zurückzubekommen

Gehen Sie zu C:\ProgramData\ oder in Ihre anderen Laufwerke und senden Sie uns die Datei prvkey*.txt.key , * könnte eine Zahl sein (wie diese: prvkey3.txt.key)
Sie können einige Dateien mit weniger als 1 MB für den Entschlüsselungstest senden, um uns zu vertrauen. Die Testdatei sollte jedoch keine wertvollen Daten enthalten
Die Zahlung sollte mit Bitcoin erfolgen
Das Ändern von Windows ohne Speichern der Datei prvkey.txt.key führt zu dauerhaftem Datenverlust

Unsere E-Mail: dataunlock@criptext.com
falls keine Antwort:dataunlocks@criptext.com
'