Crypyt-Ransomware
Cyberkriminelle haben eine neue Ransomware-Bedrohung namens Crypyt Ransomware veröffentlicht. Obwohl die Analyse ergeben hat, dass Crypyt eine Variante der VoidCrypt- Malware-Familie ist, kann es dennoch schwere Schäden an den Computern verursachen, die es infiziert. Die Bedrohung ist mit einem unknackbaren Verschlüsselungsverfahren ausgestattet, das zahlreiche Dateitypen sperren kann. Opfer von Crypyt können nicht mehr auf die verschlüsselten Dateien zugreifen oder diese verwenden. Die Angreifer werden den betroffenen Nutzern dann anbieten, den notwendigen Entschlüsselungsschlüssel und das Software-Tool zur Verfügung zu stellen, jedoch erst gegen eine hohe Lösegeldzahlung. Andere Bedrohungen durch Ransomware sind WORM (eine Dharma- Variante), Rugi (eine STOP/Djvu- Variante) und die Extortionist Ransomware.
Während der Verschlüsselung wird auch der Name jeder Zieldatei drastisch geändert. Die Bedrohung folgt der typischen VoidCrypt-Namenskonvention und hängt an die Namen der gesperrten Dateien eine E-Mail-Adresse, eine dem jeweiligen kompromittierten System zugewiesene ID-Zeichenfolge und schließlich eine neue Dateierweiterung an. Die von dieser speziellen Variante verwendete E-Mail-Adresse und Erweiterung sind "3ncrypter.m4n@gmail.com" und ".crypyt". Die Lösegeldforderung mit Anweisungen für die Opfer wird dann als Textdatei mit dem Namen „Read-this.txt" an das System geliefert.
Details zur Lösegeldforderung
Laut der Lösegeldforderung sollten alle Opfer sofort eine Datei namens 'prvkey.txt.key' auf dem Gerät finden. Der Standardspeicherort befindet sich im Ordner C:\ProgramData\. Anscheinend enthält diese Datei wichtige Daten (Schlüssel) und ohne sie können selbst die Angreifer keine der gesperrten Dateien wiederherstellen. Die Datei sollte über die beiden in der Lösegeldforderung genannten E-Mail-Adressen an Hacker gesendet werden – „3ncrypter.m4n@gmail.com" und „3ncryptionfile@gmail.com".
Neben dieser speziellen Datei können die Opfer von Crypyt auch einige ihrer gesperrten Dateien senden, die angeblich kostenlos entsperrt werden. Die ausgewählten Dateien dürfen jedoch keine wertvollen Informationen enthalten und sollten weniger als 1 MB groß sein. Schließlich heißt es in dem Hinweis, dass die Lösegeldzahlung mit der Kryptowährung Bitcoin überwiesen werden muss, eine beliebte Forderung unter Ransomware-Betreibern.
Der vollständige Text von Crypyts Notiz lautet:
' Alle Ihre Dateien wurden verschlüsselt
Sie müssen bezahlen, um Ihre Dateien zurückzubekommen1-Gehen Sie zu C:\ProgramData\ oder in Ihre anderen Laufwerke und senden Sie uns die Datei prvkey.txt.key
2-Sie können einige Dateien mit weniger als 1 MB für den Entschlüsselungstest senden, um uns zu vertrauen. Die Testdatei sollte jedoch keine wertvollen Daten enthalten
3-Die Zahlung sollte mit Bitcoin erfolgen
4-Das Ändern von Windows ohne Speichern der Datei prvkey.txt.key führt zu dauerhaftem DatenverlustUnsere E-Mail: 3ncrypter.m4n@gmail.com
falls keine Antwort:3ncryptionfile@gmail.com '
