Cip Ransomware

Forscher von Infosec haben eine weitere zerstörerische Ransomware-Bedrohung identifiziert, die Teil der Dharma-Ransomware-Familie ist. Die Bedrohung mit dem Namen Cip Ransowmare folgt genau dem typischen Dharma-Verhalten, ohne nennenswerte Abweichungen zu zeigen. Der Schaden, den er auf den infizierten Computersystemen anrichten kann, ist jedoch nicht zu unterschätzen.

Cip verwendet einen starken Verschlüsselungsalgorithmus, um fast alle Dateien seiner Opfer zu sperren. Betroffene Benutzer werden daran gehindert, auf ihre Dokumente, PODFs, Archive, Datenbanken, Bilder, Fotos, Audio- und Videodateien usw. zuzugreifen oder sie in irgendeiner Weise zu verwenden. Während des Verschlüsselungsprozesses ändert Cip Ransomware auch die Namen der Zieldateien. Die Bedrohung hält sich an das übliche Dharma-Namensmuster, indem zunächst eine Zeichenfolge angehängt wird, die als ID des Opfers dient. Als nächstes hängt Cip eine E-Mail-Adresse an, die von seinen Betreibern kontrolliert wird. Schließlich wird '.cip' als neue Dateierweiterung hinzugefügt.

Den Opfern werden zwei Lösegeldscheine mit Anweisungen der Angreifer hinterlassen. Eine wird als Textdatei mit dem Namen „info.txt“ auf dem Desktop des kompromittierten Systems abgelegt. Die andere Notiz wird in einem neuen Popup-Fenster angezeigt.

Die Forderungen von Cip Ransomware

Ziel der Bedrohung ist es, Geld im Austausch für die Wiederherstellung der Daten des Opfers zu erpressen. Beiden Lösegeldforderungen fehlen jedoch viele der entscheidenden Details, die bei anderen Ransomware-Bedrohungen beobachtet wurden. Die Nachrichten erwähnen nicht die Höhe des geforderten Lösegelds, ob das Geld mit einer bestimmten Kryptowährung überwiesen werden muss oder ob die Angreifer bereit sind, ihre Fähigkeit zur Entschlüsselung der Daten zu demonstrieren, indem sie ein paar Dateien kostenlos freischalten.

Stattdessen listet die Notiz in der Textdatei die beiden E-Mail-Adressen auf, die Opfer für die Kommunikation verwenden können – „ciphercrypt@tuta.io“ und „cipherc@onionmail.org“. Die Anweisungen im Popup-Fenster sind nicht so hilfreich. Sie enthalten einfach einen Abschnitt mit verschiedenen Warnungen, z. B. die verschlüsselten Dateien nicht umzubenennen oder Entschlüsselungsprogramme von Drittanbietern auszuführen, da dies die Daten beschädigen und die Dateien nicht mehr retten könnte.

Die Popup-Meldung lautet:

IHRE DATEIEN SIND VERSCHLÜSSELT
1024
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: ciphercrypt@tuta.io IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden per E-Mail geantwortet haben, schreiben Sie uns eine andere E-Mail:cipherc@onionmail.org
AUFMERKSAMKEIT!
Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.

Die Notiz in der Textdatei lautet:

Alle Ihre Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an ciphercrypt@tuta.io oder cipherc@onionmail.org