DC Ransomware

Forscher von Infosec haben eine neue Malware-Bedrohung namens DC Ransomware identifiziert, die in der Wildnis lauert. Die Analyse des zugrunde liegenden Codes der Bedrohung ergab, dass es sich bei der Malware um eine Variante der Dharma Ransomware- Familie handelt. Dies bedeutet zwar, dass die DC Ransomware keine wesentlichen Änderungen oder Verbesserungen gegenüber den anderen Varianten aufweist, die Zerstörungsfähigkeit der Bedrohung wird dadurch jedoch in keiner Weise verringert.

Wenn es der DC Ransomware gelingt, die Computer der Benutzer zu infiltrieren, leitet sie einen Verschlüsselungsprozess ein, der einen unknackbaren kryptografischen Code verwendet, um die dort gespeicherten Dateien zu sperren. Fast alle der gängigsten Dateitypen sind betroffen - Dokumente, PDFs, Audio, Video, Archive, Datenbanken, Fotos usw. Als Ergebnis der aufdringlichen Aktionen von DC Ransomware verlieren Benutzer die Möglichkeit, die betroffenen Dateien sogar zu öffnen.

Dem typischen Dharma-Verhalten folgend, markiert die DC Ransomware auch die Dateien, die sie verschlüsselt. Es tut dies, indem es ihre ursprünglichen Namen ändert. Zuerst wird dem Dateinamen eine dem jeweiligen Opfer zugewiesene ID-Zeichenfolge hinzugefügt. Dann hängt die Bedrohung eine von den Angreifern kontrollierte E-Mail-Adresse an (dc1@imap.cc). Schließlich wird '.DC' als neue Dateierweiterung platziert. Die DC Ransomware hinterlässt zwei Lösegeldforderungen auf den verletzten Systemen. Eine wird von einer Textdatei namens 'FILES ENCRYPTED.txt' getragen, während die andere in einem neuen Popup-Fenster angezeigt wird.

Anforderungen von DC Ransomware

Die über die Textdatei übermittelte Nachricht ist extrem kurz und enthält keine wichtigen Details. Darin heißt es lediglich, dass Opfer der Bedrohung die Angreifer kontaktieren sollten, indem sie die beiden angegebenen E-Mail-Adressen – „dc1@imap.cc" oder „dc2@imap.cc" – kontaktieren. Die richtige Lösegeldforderung wird im Popup-Fenster angezeigt. Es wird klargestellt, dass die zweite E-Mail nur verwendet werden sollte, wenn Benutzer nicht innerhalb von 24 Stunden nach Kontaktaufnahme mit der ersten E-Mail eine Antwort erhalten.

Das Pop-up-Fenster gibt auch an, dass das von den Hackern geforderte Lösegeld mit Bitcoin, der wohl beliebtesten Kryptowährung, bezahlt werden muss. Offenbar hängt der Preis des Lösegelds davon ab, wie schnell Benutzer Kontakt zu Cyberkriminellen aufnehmen.

Laut dem Hinweis haben die Opfer auch die Möglichkeit, eine Datei zur Entschlüsselung kostenlos zu senden. Die gewählte Datei darf jedoch keine wichtigen Informationen enthalten und sollte eine Größe von 1 MB nicht überschreiten. Der letzte Abschnitt der Lösegeldforderung besteht aus verschiedenen Warnungen.

Der vollständige Text der Anweisungen im Popup-Fenster lautet:

' Alle Ihre Dateien wurden verschlüsselt!

Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail dc1@imap.cc
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mails: dc2@imap.cc
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Entschlüsselungstool, das alle Ihre Dateien entschlüsselt.

Kostenlose Entschlüsselung als Garantie
Vor der Zahlung können Sie uns bis zu 1 Datei zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 1 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen, etc.)

So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Site. Sie müssen sich registrieren, auf 'Bitcoins kaufen' klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte zum Kauf von Bitcoins und eine Anleitung für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie erhöhen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die von DC Ransomware generierte Textdatei enthält die folgende Meldung:

alle deine daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an dc1@imap.cc oder dc2@imap.cc .'