Datah Ransomware

Informationssicherheitsexperten haben kürzlich eine besorgniserregende neue Ransomware-Bedrohung namens Datah Ransomware entdeckt. Diese schädliche Software verschlüsselt ein breites Spektrum an Dateitypen auf dem infizierten System und macht sie für das Opfer unzugänglich. Zusätzlich zur Verschlüsselung von Dateien hinterlässt Datah eine Lösegeldforderung mit dem Titel „+README-WARNING+.txt“, die Kontaktinformationen und weitere Anweisungen für das Opfer enthält.

Darüber hinaus geht Datah noch einen Schritt weiter und benennt die verschlüsselten Dateien um. Dies wird erreicht, indem den Dateinamen bestimmte Kennungen angehängt werden, darunter die eindeutige ID des Opfers, die E-Mail-Adresse „datahelper@onionmail.org“ und die Erweiterung „.datah“. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.doc“ in „1.doc.[2AF30FA3].[datahelper@onionmail.org].datah“ umgewandelt, während „2.pdf“ zu „2.pdf.[2AF30FA3].[datahelper@onionmail.org].datah“ und so weiter wird. Es ist erwähnenswert, dass Datah als Variante der Makop Ransomware- Familie klassifiziert wird.

Opfer der Datah-Ransomware werden ihre Daten als Geisel genommen

Der Erpresserbrief, der der Datah Ransomware beiliegt, übermittelt den Opfern eine klare Botschaft: Ihre Dateien wurden verschlüsselt, aber die zugrunde liegende Dateistruktur bleibt intakt. Der Brief betont, dass der einzige Weg zur Wiederherstellung darin besteht, den für die Verschlüsselung verantwortlichen Cyberkriminellen eine Zahlung zu leisten. Um Vertrauen zu schaffen, bieten die Bedrohungsakteure eine Testentschlüsselung von zwei einfachen Dateien begrenzter Größe an und demonstrieren so ihre Fähigkeit, Dateien nach Erhalt einer Zahlung zu entschlüsseln.

Kontaktdetails werden über eine E-Mail-Adresse (datahelper@onionmail.org) und eine TOX-ID bereitgestellt, sodass Opfer Kontakt mit den Tätern aufnehmen können. Die Nachricht endet jedoch mit einer eindringlichen Warnung davor, zu versuchen, die verschlüsselten Dateien eigenständig zu verändern. Solche Aktionen könnten zum Verlust von Daten und des für die Entschlüsselung erforderlichen privaten Schlüssels führen, was möglicherweise irreversible Folgen für das Opfer haben könnte.

Es ist von entscheidender Bedeutung, dass die Opfer den Lösegeldforderungen nicht nachgeben, da es keine Garantie dafür gibt, dass die Cyberkriminellen ihr Versprechen einhalten und nach Erhalt der Zahlung Entschlüsselungstools bereitstellen. Darüber hinaus ist es wichtig, die Ransomware schnell von infizierten Computern zu entfernen. Dadurch wird nicht nur das Risiko einer weiteren Verschlüsselung verringert, sondern auch die potenzielle Ausbreitung der Ransomware auf andere Computer im selben Netzwerk verhindert und die Gesamtauswirkung des Angriffs gemildert.

Wichtige Abwehrmaßnahmen, die auf allen Geräten umgesetzt werden müssen

Um Daten vor Ransomware-Bedrohungen zu schützen, ist es wichtig, auf allen Geräten wichtige Abwehrmaßnahmen zu ergreifen. Hier sind die wichtigsten Schritte, die Benutzer unternehmen sollten:

• Regelmäßige Software-Updates : Stellen Sie sicher, dass Betriebssysteme, Anwendungen und Sicherheitssoftware regelmäßig aktualisiert werden. Updates enthalten häufig Patches, die von Ransomware ausgenutzte Schwachstellen beheben.

• Installieren Sie Anti-Malware-Software : Verwenden Sie bewährte Sicherheitssoftware mit Echtzeitschutz vor Ransomware und anderen Bedrohungen. Aktivieren Sie automatische Updates und regelmäßige Scans.

• Starke Passwörter und Multi-Faktor-Authentifizierung (MFA) : Verwenden Sie komplexe Passwörter und aktivieren Sie, wo immer möglich, MFA, um eine zusätzliche Sicherheitsebene hinzuzufügen. Vermeiden Sie die Verwendung desselben Passworts für mehrere Konten.

• Sichern Sie Ihre Daten regelmäßig : Richten Sie regelmäßige Backups wichtiger Dateien ein und speichern Sie diese sicher offline oder in der Cloud. Automatisierte, verschlüsselte Backups gewährleisten die Datenintegrität und erleichtern die Wiederherstellung im Falle eines Ransomware-Angriffs.

• Benutzer schulen : Schulen Sie Benutzer darin, Phishing-E-Mails, verdächtige Links und betrügerische Anhänge zu erkennen. Fördern Sie Skepsis gegenüber unerwarteten E-Mails oder Anfragen nach vertraulichen Informationen.

• Beschränken Sie die Benutzerrechte : Wenden Sie das Prinzip der geringsten Rechte an und beschränken Sie den Benutzerzugriff auf das, was für ihre berufliche Rolle erforderlich ist. Dadurch wird die Auswirkung von Ransomware begrenzt, da ihre Fähigkeit, sich im Netzwerk zu verbreiten, verringert wird.

• Firewall-Schutz aktivieren : Aktivieren und aktualisieren Sie Firewalls auf Geräten und Netzwerken regelmäßig, um eingehenden und ausgehenden Datenverkehr zu filtern und potenziell schädliche Verbindungen zu blockieren.

Durch die sorgfältige Umsetzung dieser Abwehrmaßnahmen können Benutzer das Risiko verringern, Opfer von Ransomware-Angriffen zu werden, und ihre wertvollen Daten schützen.

Der vollständige Text des Erpresserbriefs, der der Datah Ransomware beiliegt, lautet:

'::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'