Avanzi-Ransomware

Im Zuge der Untersuchung potenziell bedrohlicher Software haben Cybersicherheitsforscher eine Ransomware-Variante namens Avanzi identifiziert. Sobald Avanzi erfolgreich in einen Computer eingedrungen ist, führt es eine Reihe schädlicher Aktionen aus, darunter die Verschlüsselung von Dateien, die Änderung ihrer Dateinamen, die Anzeige einer Lösegeldforderung für Opfer und die Erstellung einer zusätzlichen Notiz in der Datei „info.txt“.

Bei einer Infektion fügt Avanzi den Dateinamen bestimmte Elemente hinzu, nämlich die ID des Opfers, die E-Mail-Adresse „avanziahelp@cock.li“ und die Erweiterung „.avan“. Beispielsweise wird eine Datei wie „1.png“ in „1.png.id-9ECFA74E.[avanziahelp@cock.li].avan“ und „2.pdf“ in „2.png.id-9ECFA74E“ umgewandelt. avanziahelp@cock.li].avan“ und so weiter. Ein wichtiger Aspekt der Avanzi Ransomware ist ihre Verbindung mit der berüchtigten Dharma- Familie von Malware-Bedrohungen.

Die Avanzi-Ransomware könnte kompromittierten Geräten ernsthaften Schaden zufügen

Der von Avanzi Ransomware ausgestellte Lösegeldschein beginnt mit einer Ankündigung, in der die Opfer darüber informiert werden, dass alle ihre Dateien verschlüsselt wurden, ihnen jedoch die Möglichkeit einer Wiederherstellung zugesichert wird. Opfer werden angewiesen, innerhalb eines strengen Zeitrahmens von 12 Stunden über die angegebene E-Mail-Adresse (avanziahelp@cock.li) Kontakt mit den Angreifern aufzunehmen. Bei verspäteter Reaktion steht eine alternative E-Mail-Adresse (avanzirest@tuta.io) zur Verfügung.

Um einen Anschein von Kulanz zu zeigen, verspricht die Notiz eine kostenlose Entschlüsselung für bis zu drei Dateien und legt spezifische Bedingungen für die Berechtigung dar. Darüber hinaus erhalten Opfer Hinweise zum Erwerb von Bitcoins, der bevorzugten Methode zur Lösegeldzahlung. Der Hinweis warnt ausdrücklich vor bestimmten Aktionen, wie zum Beispiel dem Umbenennen von Dateien oder Versuchen der Entschlüsselung durch Dritte, um einen dauerhaften Datenverlust oder die Anfälligkeit für Taktiken zu verhindern.

Bemerkenswert ist Avanzis Strategie, den primären Abwehrmechanismus des Zielsystems durch Deaktivierung der Firewall zu kompromittieren. Darüber hinaus werden Schattenkopien von Volumes eliminiert, wodurch potenzielle Wege zur Datenwiederherstellung versperrt werden. Die Ransomware nutzt Schwachstellen in RDP-Diensten (Remote Desktop Protocol) aus, um unbefugten Zugriff zu ermöglichen.

Avanzi nutzt Brute-Force- und Wörterbuchangriffe, um schwache Kontoanmeldeinformationen auszunutzen, vor allem auf Systemen, die RDP-Dienste nutzen. Die Persistenz der Malware auf dem infizierten System gibt Anlass zu erheblichen Bedenken. Avanzi verschlüsselt und kompromittiert nicht nur das System, sondern sammelt auch Standortdaten und kann vordefinierte Standorte selektiv ausschließen, wodurch seine Wirkung und Dauer verlängert werden.

Wie schützen Sie Ihre Geräte vor Ransomware-Bedrohungen?

Der Schutz von Geräten vor Ransomware-Bedrohungen erfordert einen mehrschichtigen Ansatz zur Verbesserung der gesamten Cybersicherheit. Hier sind einige wichtige Vorgehensweisen und Empfehlungen:

• Halten Sie die Software auf dem neuesten Stand : Aktualisieren Sie Betriebssysteme, Sicherheitssoftware und Anwendungen regelmäßig. Software-Updates enthalten häufig Sicherheitspatches, die von Ransomware ausgenutzte Schwachstellen beheben.
• Installieren Sie zuverlässige Anti-Malware-Software : Nutzen Sie seriöse Sicherheitssoftware, um Echtzeitschutz vor verschiedenen Bedrohungen, einschließlich Ransomware, zu bieten. Stellen Sie sicher, dass die Software so eingestellt ist, dass sie automatisch aktualisiert wird und regelmäßige Scans durchführt.
• Sichern Sie wichtige Daten : Sichern Sie wichtige Daten regelmäßig auf einer externen Festplatte oder einem sicheren Cloud-Dienst. Dies stellt sicher, dass Sie Ihre Dateien auch dann wiederherstellen können, wenn Ihr Gerät kompromittiert ist, ohne Lösegeldforderungen nachzugeben.
• Verwenden Sie starke und eindeutige Passwörter : Implementieren Sie sichere, eindeutige Passwörter für alle Konten und Geräte. Vermeiden Sie die Verwendung leicht zu erratender Passwörter und erwägen Sie die Verwendung eines Passwort-Managers, um den Überblick über komplexe Anmeldeinformationen zu behalten.
• Seien Sie vorsichtig bei E-Mail-Anhängen und Links : Seien Sie vorsichtig bei unerwarteten E-Mails, insbesondere bei solchen, die Anhänge oder Links enthalten. Vermeiden Sie das Öffnen von Anhängen oder das Klicken auf Links aus unbekannten oder verdächtigen Quellen, da diese Ransomware oder andere Malware enthalten können.
• Informieren Sie sich und Ihre Benutzer : Bleiben Sie über die neuesten Cybersicherheitsbedrohungen informiert und informieren Sie sich und andere Benutzer über die Risiken, die das Klicken auf unbekannte Links, das Herunterladen verdächtiger Dateien oder der Besuch nicht vertrauenswürdiger Websites mit sich bringt.

Durch die Übernahme dieser Praktiken können Benutzer das Risiko, Opfer von Ransomware zu werden, erheblich verringern und die allgemeine Sicherheitslage ihrer Geräte verbessern.

Der vollständige Text des Lösegeldscheins, der von der Avanzi-Ransomware auf infizierten Geräten generiert wurde, lautet:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die von Avanzi Ransomware abgelegte Textdatei enthält die folgende Meldung:

Alle Ihre Daten wurden von uns gesperrt

Du möchtest zurückkehren?

Schreiben Sie eine E-Mail an avanziahelp@cock.li oder avanzirest@tuta.io.