Extortionist Ransomware
Die Extortionist Ransomware ist eine neue, bedrohliche Variante aus der VoidCrypt-Malware-Familie. Sein Ziel ist es, gezielte Systeme zu infiltrieren und einen starken Verschlüsselungsalgorithmus auszuführen. Infolgedessen verlieren die Opfer den Zugriff auf die meisten ihrer privaten und geschäftlichen Dateien. Dokumente, archivierte, Datenbanken, Bilder, Fotos, PDFs und mehr werden unbrauchbar gemacht. Die für die Veröffentlichung der Extortionist Ransomware verantwortlichen Bedrohungsakteure erpressen ihre Opfer dann um Geld im Austausch für die mögliche Wiederherstellung der gesperrten Daten.
Eines der charakteristischen Merkmale der Bedrohung ist die spezifische Erweiterung, mit der jede gesperrte Datei gekennzeichnet wird. Beim Verschlüsseln einer Datei aus den Zieldateitypen fügt die Malware an den ursprünglichen Namen der Datei eine E-Mail-Adresse, eine eindeutige ID-Zeichenfolge und eine neue Erweiterung an. Die E-Mail-Adresse lautet „openthefile@mailfence.com“, während die Erweiterung „.Extortionist“ lautet. Die Lösegeldforderung der Bedrohung wird als Textdatei namens „Decrypt-me.txt“ auf den kompromittierten Geräten abgelegt.
Anforderungsübersicht
Die Anweisungen der Hacker besagen, dass die erste Aktion ihrer Opfer darin bestehen sollte, eine bestimmte Datei namens 'prvkey*.txt.key' zu finden. Anscheinend enthält die Datei einen entscheidenden Entschlüsselungsschlüssel und ohne diesen können selbst die Angreifer die betroffenen Daten nicht wiederherstellen. Der Standardspeicherort der Datei ist C:\ProgramData\ und das *-Zeichen könnte stattdessen eine Zahl sein. Der Hinweis stellt auch klar, dass das Lösegeld mit der Kryptowährung Bitcoin bezahlt werden muss.
Wenn der Notiz vertrauenswürdig ist, dürfen Opfer auch ein paar gesperrte Dateien kostenlos zur Entschlüsselung senden. Die ausgewählten Dateien müssen jedoch kleiner als 1 MB sein und dürfen keine wichtigen Informationen enthalten. Als Kommunikationskanäle stehen zwei E-Mails zur Verfügung – „openthefile@mailfence.com“ und „openthefile@tutanota.com“.
Der vollständige Text der Notiz von Extortionist Ransomware lautet:
' Alle Ihre Dateien wurden verschlüsselt
Sie müssen bezahlen, um Ihre Dateien zurückzubekommen
1-Gehen Sie zum Ordner C:\ProgramData\ und senden Sie uns die Datei prvkey*.txt.key, * könnte eine Zahl sein (wie diese: prvkey3.txt.key)
2-Sie können einige Dateien mit weniger als 1 MB für den Entschlüsselungstest senden, um uns zu vertrauen. Die Testdatei sollte jedoch keine wertvollen Daten enthalten
3-Die Zahlung sollte mit Bitcoin erfolgen
4-Das Ändern von Windows ohne Speichern der Datei prvkey.txt.key führt zu dauerhaftem DatenverlustUnsere E-Mail: openthefile@mailfence.com
falls keine Antwort:openthefile@tutanota.com '
