DAGON LOCKER Ransomware

Als Forscher von infosec die DAGON LOCKER Ransomware analysierten, stellten sie fest, dass es sich wahrscheinlich um eine aktualisierte Version einer zuvor identifizierten Bedrohung handelt, die als Mount Locker Ransomware bekannt ist. Die Bedrohung wird von Bedrohungsakteuren verwendet, um die Daten ihrer Opfer zu beeinflussen, indem sie sie mit einem unknackbaren kryptografischen Algorithmus verschlüsseln. Die betroffenen Dateien bleiben in einem unzugänglichen Zustand. Außerdem wird „.dagoned“ an die ursprünglichen Namen aller Zieldateitypen angehängt.

Der DAGON LOCKER hinterlässt eine Lösegeldforderung mit Anweisungen an seine Opfer. Die Nachricht wird als Datei mit dem Namen „README_TO_DECRYPT.html“ übermittelt. Lesen der Notiz zeigt, dass die Angreifer ein doppeltes Erpressungsschema betreiben – bevor sie die Dateien des Opfers verschlüsseln, sammeln sie vertrauliche Daten und speichern sie auf einem privaten Server. Die Hacker drohen damit, die erhaltenen Informationen an die Öffentlichkeit zu geben, wenn die betroffenen Unternehmen das geforderte Lösegeld nicht zahlen. Laut der Notiz besteht die einzige Möglichkeit, die Cyberkriminellen zu kontaktieren, darin, auf ihre spezielle Website zu gehen, die im Tor-Netzwerk gehostet wird.

Der vollständige Text der von der DAGON LOCKER Ransomware hinterlassenen Nachricht lautet:

»Pwned
von DAGON LOCKER
Was ist passiert?
Alle Ihre Daten sind auf allen IT-Systemen verschlüsselt.

Ihre Daten, einschließlich Finanz-, Kunden-, Partnerverträge und Mitarbeiter, wurden auf unsere internen Server exfiltriert.

Was kommt als nächstes?
Entweder Sie melden sich bei uns oder Sie machen sich als Unternehmen mit einem großen Datenleck einen Namen.

Wie erhole ich mich?
Es gibt keine Möglichkeit, Ihre Dateien manuell zu entschlüsseln, es sei denn, wir stellen ein spezielles Entschlüsselungstool zur Verfügung.

Holen Sie sich Ihre Kopie des Tor-Browsers und KONTAKTIEREN SIE UNS.