Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Bash 2.0 Ransomware

Bash 2.0 Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:

Ransomware bleibt eine der größten Bedrohungen für Privatpersonen und Unternehmen. Schon ein einziger erfolgreicher Angriff kann Ihre Dateien zerstören, den Geschäftsbetrieb lahmlegen und sensible Daten Erpressern ausliefern. Proaktiver Schutz, mehrschichtige Sicherheitskontrollen, wachsame Nutzer und zuverlässige Backups sind immer günstiger, als Kriminelle zu bezahlen (und trotzdem Ihre Daten nicht zurückzubekommen). Die Bash 2.0 Ransomware, auch bekannt als Bash Red, ist ein deutlicher Hinweis darauf, dass neue Angriffstypen bewährten Angriffscode weiterverwenden und gleichzeitig ihre Druckmittel gegen Opfer verfeinern.

LERNEN SIE BASH 2.0 (BASH RED) KENNEN

Forscher entdeckten Bash 2.0 bei der Beobachtung neuer Malware-Aktivitäten. Die Bedrohung basiert auf der Codebasis der Chaos-Ransomware, einem Framework, das bereits in mehreren Spin-offs wiederverwendet wurde. Die Nutzung von Chaos verschafft Angreifern einen Vorsprung: Kernverschlüsselung, Dateiverwaltung und Lösegeldforderungsroutinen sind bereits vorhanden und können für neue Kampagnen angepasst werden. Bash 2.0 nutzt diese übernommenen Funktionen, um Daten zu sperren und Zahlungen zu erpressen.

WAS PASSIERT MIT IHREN DATEIEN

Sobald Bash 2.0 auf einem System ausgeführt wird, versucht es, zugängliche Daten zu verschlüsseln. Jede betroffene Datei erhält eine zusätzliche Erweiterung aus vier zufälligen Zeichen, wodurch beispielsweise „1.png“ in „1.png.2rf9“ umgewandelt wird (das zufällige Suffix variiert je nach Infektion). Diese Umbenennungskonvention hilft den Angreifern (und automatisierten Tools), die gesperrten Dateien nachzuverfolgen und signalisiert den Opfern gleichzeitig, dass ihre Daten nicht mehr nutzbar sind. Die Ransomware verändert außerdem das Desktop-Hintergrundbild, um die Erpresserbotschaft optisch zu verstärken.

DIE LÖSEGELDBOTSCHAFT: BASHRED-README.TXT

Nach Abschluss der Verschlüsselung hinterlässt Bash 2.0 eine Textnachricht mit dem Namen „bashred-reAdmE.txt“. Die Nachricht informiert das Opfer über die Verschlüsselung der Dateien und behauptet, dass die einzige Möglichkeit zur Wiederherstellung darin besteht, einen einzigartigen Entschlüsselungsschlüssel und Software von den Angreifern zu erhalten. Die Opfer werden aufgefordert, Kontakt aufzunehmen und zu bezahlen. Die Nachricht warnt davor, dass das Umbenennen, Ändern oder der Versuch, die gesperrten Daten selbst zu entschlüsseln, diese dauerhaft beschädigen könnte. Der Wechsel des Hintergrundbilds spiegelt typischerweise dieselben Themen wider und erhöht die Dringlichkeit.

WIE REALISTISCH IST DIE DATENWIEDERHERSTELLUNG?

Bei den meisten Ransomware-Vorfällen ist eine Entschlüsselung ohne die Mitwirkung der Angreifer technisch unmöglich, da die Verschlüsselung kryptografisch stark ausgelegt ist. Nur in seltenen Fällen, meist bei schwerwiegenden Implementierungsfehlern der Malware-Entwickler, ist eine Entschlüsselung ohne deren Beteiligung möglich. Selbst eine Zahlung ist keine Garantie: Opfer berichten regelmäßig, dass sie keine funktionierenden Tools, nur unvollständige Entschlüsselungsprogramme oder beschädigte Schlüssel erhalten haben. Durch die Zahlung werden zudem weitere kriminelle Machenschaften finanziert, was Sie möglicherweise zum wiederholten Mal zum Ziel macht. Aus diesen Gründen raten Sicherheitsexperten dringend davon ab, Lösegeldforderungen nachzukommen.

STOPPEN SIE DIE BLUTUNG: ENTFERNUNG UND EINSCHRÄNKUNG

Die Entfernung von Bash 2.0 aus einer infizierten Umgebung ist unerlässlich, um die Verschlüsselung weiterer Dateien zu verhindern und die Ausbreitung der Bedrohung auf verbundene Systeme zu unterbinden. Die Bereinigung der Malware entschlüsselt jedoch nicht bereits gesperrte Daten. Eine echte Wiederherstellung erfordert sichere, Offline- und kompromisslose Backups. Isolieren Sie vor der Wiederherstellung betroffene Rechner vom Netzwerk, führen Sie einen vollständigen Malware-Scan mit aktualisierten Tools durch und erstellen Sie einen Neuaufbau oder ein Reimage, wenn die Vertrauenswürdigkeit nicht gewährleistet ist. Verbinden Sie wiederhergestellte Systeme erst wieder, nachdem Sie überprüft haben, dass sie sauber sind.

WIE SICH BASH 2.0 IN DER WILDNIS VERBREITET

Angreifer werfen ein breites Netz aus. Zu den gängigen Verbreitungsvektoren im Zusammenhang mit Ransomware-Kampagnen, die für Bash 2.0 relevant sind, gehören:

  • Schädliche Anhänge oder Links, die über Spam, Spear-Phishing oder Social-Messaging-Plattformen übermittelt werden.
  • Gebündelte oder mit Trojanern infizierte Installationsprogramme, die sich als legitime Software, Spiele, Mediencodecs oder Produktivitätstools ausgeben.
  • Drive-by-Downloads, die durch kompromittierte oder bösartige Websites ausgelöst werden und häufig durch Malvertising erreicht werden.
  • Downloadkanäle von Drittanbietern, Freeware und Peer-to-Peer mit schwachen Integritätskontrollen.
  • Illegale Software-„Cracks“, Keygens und gefälschte Aktivierungsprogramme, die unbemerkt Nutzdaten übermitteln.
  • Gefälschte Update-Aufforderungen (Browser, Plug-In, Betriebssystem oder Anwendung), die anstelle von Patches Malware installieren.

Einige Bedrohungsbuilds können sich seitlich ausbreiten oder selbst verbreiten und versuchen, lokale Netzwerke zu durchqueren oder sich auf Wechselmedien wie USB-Sticks und externe Festplatten zu kopieren.

BESTE SICHERHEITSPRAKTIKEN ZUR STÄRKUNG IHRER ABWEHR

  • Führen Sie versionierte, Offline- und regelmäßig getestete Backups durch. Speichern Sie mindestens einen Backup-Satz außerhalb des Netzwerks (vorzugsweise auf unveränderlichem Speicher oder einmal beschreibbaren Medien).
  • Halten Sie Betriebssysteme, Anwendungen, Sicherheitspakete und Firmware stets auf dem neuesten Stand. Aktivieren Sie, wo möglich, automatische Updates.
  • Setzen Sie seriöse Anti-Malware-/EDR-Lösungen mit verhaltensbasierter Ransomware-Erkennung und Rollback-Funktionen ein.
  • Verwenden Sie E-Mail-Filter, Sandboxing für Anhänge und Link-Scanning-Gateways, um das Phishing-Risiko zu verringern. Schulen Sie Benutzer darin, gefälschte Absender und unerwartete Anhänge zu erkennen.
  • Deaktivieren oder beschränken Sie Makros und aktive Inhalte in Dokumentformaten; öffnen Sie unerwünschte Dokumente in der geschützten Ansicht.
  • Arbeiten Sie mit Benutzerkonten mit den geringsten Berechtigungen. Reservieren Sie Administratoranmeldeinformationen für dedizierte, sichere Sitzungen.
  • Segmentieren Sie Netzwerke und erzwingen Sie Zugriffskontrollen, sodass ein einzelner kompromittierter Endpunkt nicht auf alle kritischen Freigaben zugreifen kann.
  • Erfordern eine Multifaktor-Authentifizierung für Fernzugriff, privilegierte Aktionen und Backup-Verwaltungskonsolen.
  • Deaktivieren Sie Autorun/Autoplay auf Wechselmedien; scannen Sie externe Laufwerke, bevor Sie sie in Produktionssysteme einbinden.

    • ABSCHLIESSENDE GEDANKEN

    Die Bash 2.0-Ransomware veranschaulicht, wie schnell Bedrohungsakteure bestehende Codebasen für neue Erpressungstools umfunktionieren können. Verteidiger, die sich ausschließlich auf signaturbasierte Erkennung oder Last-Minute-Reaktionen verlassen, sind weiterhin im Nachteil. Durch die Kombination disziplinierter Backup-Strategien, strenger Patch-Hygiene, mehrschichtiger Endpunkt- und E-Mail-Abwehr, Least-Privilege-Design und bewährter Reaktions-Playbooks reduzieren Sie sowohl die Wahrscheinlichkeit als auch die Auswirkungen eines Ransomware-Angriffs drastisch.

    Mitteilungen

    Folgende Mitteilungen, die mit Bash 2.0 Ransomware assoziiert sind, wurden gefunden:

    !!!ATTENTION!!!

    Your Files Have Been Encrypted By Bash Ransomware (v2.0)!

    Your Downloads, Documents, Desktop, Videos, etc.

    We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing
    To Cooperate With Us. We Can Work Towards A Reasonable Outcome.

    COMMONLY ASKED QUESTIONS.
    --------------------------

    What Happened To My Files?
    ---------------------------

    Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used
    To Encrypt The AES Encryption And Decryption Keys.

    The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically
    For This Ransomware. As Well As Its Corresponding Decryption Software.

    In Order To Obtain Them, You Must Pay A Reasonable Fee.

    How Do I Pay?
    --------------

    In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/

    After Installing The Browser.

    Please Visit One Of Our Darknet Sites Listed Below:

    -

    Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below.

    You Will Then Be Taken Through The Payment Process.

    Your Personal ID: -

    Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At:
    bashID72@protonmail.com
    -------------------------------
    WARNING!
    DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable!
    -------------------

    We Look Foward To Finding A Common Ground.

    Thank You

    Version:(BashRed-2.0-213)

    Im Trend

    Am häufigsten gesehen

    Wird geladen...