Datei-Ransomware
Cybersicherheitsforscher warnen Benutzer vor einer schädlichen Ransomware-Bedrohung namens File Ransomware. Die File Ransomware ist in der Lage, zahlreiche verschiedene Dateitypen zu sperren, wodurch Benutzer effektiv daran gehindert werden, auf ihre eigenen Daten zuzugreifen. Die Angreifer können die verschlüsselten Dateien als Druckmittel nutzen, um Geld von ihren Opfern zu erpressen. Obwohl bestätigt wurde, dass die File Ransomware eine Variante der Phobos- Malware-Familie ist, bleibt ihre Fähigkeit, Schaden zu verursachen, erheblich.
Opfer der File Ransomware werden feststellen, dass alle betroffenen Dateien erheblich geänderte Namen haben. Tatsächlich fügt die File Ransomware eine ID-Zeichenfolge, eine von den Angreifern kontrollierte E-Mail-Adresse und „.FILE“ zu den Namen der verschlüsselten Dateien hinzu. Darüber hinaus legt die Malware zwei neue Dateien auf dem angegriffenen Gerät ab. Diese Dateien mit den Namen „info.hta“ und „info.txt“ haben die Aufgabe, die Lösegeldforderungen der Angreifer zu transportieren.
Die .hta-Datei wird als Quelle für ein Popup-Fenster verwendet. Die darin angezeigte Lösegeldforderungsnachricht ist jedoch extrem kurz und enthält hauptsächlich Informationen darüber, wie Opfer die Cyberkriminellen kontaktieren können. Die Notiz erwähnt zwei E-Mail-Adressen – „teamchic@yandex.com“ und „teamchica@yandex.com“ sowie zwei Jabber-Konten – „teamchic@jabb.im“ und „teamchic@exploit.im“.
Die vollständigen Anweisungen der File Ransomware finden Sie in der Textdatei der Bedrohung. Es benachrichtigt die Opfer, dass der als Lösegeld geforderte Betrag davon abhängt, wie schnell sie sich an die Angreifer wenden. Außerdem werden nur Zahlungen in Bitcoin akzeptiert. Die Hacker erklären auch, dass sie bereit sind, bis zu 5 Dateien kostenlos zu entschlüsseln. Die ausgewählten Dateien müssen jedoch eine Gesamtgröße von weniger als 4 MB haben und sollten keine wichtigen Daten enthalten.
Die als Textdatei gelieferte Lösegeldforderung lautet:
' Alle Ihre Dateien wurden verschlüsselt!
Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail-Adresse teamchic@yandex.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mail: teamchica@yandex.com
Wenn auf unsere E-Mail keine Antwort erfolgt, können Sie den Jabber-Client installieren und uns zur Unterstützung an teamchic@jabb.im oder teamchic@exploit.im schreiben
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, das alle Ihre Dateien entschlüsselt.Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Website. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins kaufen können, und einen Leitfaden für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Installationsanweisungen für den Jabber-Client:
Laden Sie den Jabber-Client (Pidgin) von hxxps://pidgin.im/download/windows/ herunter.
Nach der Installation fordert Sie der Pidgin-Client auf, ein neues Konto zu erstellen.
Klicken Sie auf "Hinzufügen"
Wählen Sie im Feld „Protokoll“ XMPP aus
Unter "Benutzername" - lassen Sie sich einen beliebigen Namen einfallen
Geben Sie im Feld "Domäne" einen beliebigen Jabber-Server ein, es gibt viele davon, zum Beispiel - Exploit.im
Erstellen sie ein Passwort
Setzen Sie unten ein Häkchen bei "Konto erstellen".
Klicken Sie auf Hinzufügen
Wenn Sie "Domain" - Exploit.im ausgewählt haben, sollte ein neues Fenster erscheinen, in dem Sie Ihre Daten erneut eingeben müssen:
Benutzer
Passwort
Sie müssen dem Link zum Captcha folgen (dort sehen Sie die Zeichen, die Sie in das Feld unten eingeben müssen)
Wenn Sie unsere Installationsanweisungen für den Pidgin-Client nicht verstehen, finden Sie viele Installations-Tutorials auf YouTube – hxxps://www.youtube.com/results?search_query=pidgin+jabber+installAufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.Die als Popup-Fenster angezeigte Nachricht lautet:
!!!Alle Ihre Dateien sind verschlüsselt!!!
Um sie zu entschlüsseln, senden Sie eine E-Mail an diese Adresse: teamchic@yandex.com.
Wenn wir nicht innerhalb von 24 Stunden antworten, senden Sie eine E-Mail an diese Adresse: teamchica@yandex.com
Wenn auf unsere E-Mail keine Antwort erfolgt, können Sie den Jabber-Client installieren und uns zur Unterstützung an teamchic@jabb.im oder teamchic@exploit.im schreiben .
