Cryptonite-Ransomware

Die Cryptonite-Ransomware-Bedrohung ist möglicherweise nicht ganz einzigartig – Infosec-Forscher haben bestätigt, dass es sich um eine Variante der Chaos - Ransomware handelt, aber das macht sie nicht weniger bedrohlich. Sobald die Bedrohung auf den infizierten Computern ausgeführt wird, führt sie eine starke Verschlüsselungsroutine aus, die die meisten dort gespeicherten Daten in einen unzugänglichen und unbrauchbaren Zustand versetzt. Dateien wie Dokumente, PDFs, Bilder, Fotos, Archive, Datenbanken und vieles mehr werden beeinträchtigt und eine Wiederherstellung ohne Kenntnis der richtigen Entschlüsselungsschlüssel wäre praktisch unmöglich.

Im Gegensatz zu den meisten Ransomware-Bedrohungen verwendet Cryptonite keine konsistente Zeichenfolge, um die verschlüsselten Dateien zu markieren. Stattdessen wird eine andere 4-stellige Zeichenfolge generiert und an die ursprünglichen Dateinamen angehängt. Der Desktop-Hintergrund der betroffenen Geräte wird durch einen neuen ersetzt, der eine kurze Nachricht auf Französisch enthält. Die Lösegeldforderung wurde von der Bedrohung als Textdatei mit dem Namen „lisezmoi.txt“ abgelegt und ebenfalls vollständig in Französisch verfasst.

Die Übersetzung der Lösegeldforderung von Cryptonite zeigt, dass seine Betreiber versuchen, 0,51 BTC (Bitcoins) von ihren Opfern zu erpressen. Laut der Notiz sollte das Lösegeld genau 13.457,65 $ betragen, aber das ist nicht mehr genau. Aufgrund der hohen Volatilität der Kryptowährung beträgt das Lösegeld zum aktuellen Wechselkurs etwa 10.500 US-Dollar.

Die Lösegeldforderung warnt die Opfer vor der Drohung, dass sie 24 Stunden Zeit haben, das Geld an die angegebene Krypto-Wallet-Adresse zu senden. Wenn sie länger brauchen, verlieren sie alle 24 Stunden 2 verschlüsselte Dateien. Darüber hinaus wird das Lösegeld nach 7 Tagen auf 16.000 US-Dollar erhöht. Eine einzelne E-Mail-Adresse – „decrypt5058@proton.me“ – ist die einzige bereitgestellte Möglichkeit, eine Kommunikation mit den Cyberkriminellen herzustellen.

Der vollständige Text der Notiz in Frech lautet:

„Tous Vos fichiers ont été cryptés, Votre ordinateur à été infecté par le virus CRYPTONITE et vous ne serez pas fähig de décryptés vos fichiers sans la clé de décryptage.

Erhalten Sie den Schlüssel der Entschlüsselung von Dateien und supprimer le virus veuillez nous contacter sur notre adresse emails ci-dessous.

Kontakt: decrypt5058@proton.me

Vous devez payer une rançon et cette rançon ne peut être payée que en bitcoin à l'adresse indiqué ci-dessous.

Monat: 13457,65 $ = 0,51 BTC
Adresse: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Chaque 24h deux fichiers seront selectionner et supprimer au hasard, après 7j la rançon passe de 13457,65$ à 16000$

Chaque fichier que vous éssayerez de décrypter sans la clé endommagera le fichier et vous le perdrez à jamais.'