Multi-License Discount Quote
Bedrohungsdatenbank Ransomware FORCE-Ransomware

FORCE-Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:
Deutsch

Bei einer Untersuchung potenzieller Malware-Bedrohungen entdeckten Forscher die FORCE-Ransomware. Sobald es in ein Gerät eindringt, initiiert FORCE die Verschlüsselung verschiedener Dateitypen, darunter Bilder, Dokumente, Tabellenkalkulationen und mehr. Ziel der Angreifer ist es, die verschlüsselten Daten als Geisel zu nehmen und die betroffenen Opfer dazu zu zwingen, für deren Entschlüsselung zu zahlen. Um Opfer zu identifizieren und die Kommunikation herzustellen, fügt die Ransomware eindeutige Kennungen, die E-Mail-Adressen der Cyberkriminellen und eine „.FORCE“-Erweiterung an die Dateinamen verschlüsselter Dateien an. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.png“ in „1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE“ umgewandelt werden.

Nach Abschluss des Verschlüsselungsprozesses zeigt das System identische Lösegeldforderungen in zwei Formaten an: einem Popup-Fenster („info.hta“) und einer Textdatei („info.txt“). Diese Meldungen erscheinen auf dem Desktop und in allen Verzeichnissen, die verschlüsselte Dateien enthalten. Weitere Analysen ergaben, dass FORCE zur Phobos-Ransomware- Familie gehört.

Die FORCE-Ransomware erpresst Opfer gegen Geld

In den von FORCE herausgegebenen Lösegeldforderungen wird betont, dass die Dateien des Opfers verschlüsselt und sensible Daten kompromittiert wurden. Um angeblich wieder Zugriff auf seine Dateien zu erhalten, wird das Opfer angewiesen, ein Lösegeld ausschließlich mit der Kryptowährung Bitcoin zu zahlen. Die Nichteinhaltung der aufgeführten Anforderungen führt zum Verkauf der gestohlenen Informationen. Vor jeder Zahlung erhält das Opfer die Möglichkeit, den Entschlüsselungsprozess kostenlos zu testen, allerdings mit gewissen Einschränkungen.

In den Nachrichten wird davor gewarnt, die verschlüsselten Dateien zu verändern oder Wiederherstellungstools von Drittanbietern zu verwenden, da solche Aktionen dazu führen können, dass die Daten unwiederbringlich werden. Darüber hinaus wird das Opfer gewarnt, dass die Inanspruchnahme der Hilfe Dritter seine finanziellen Verluste in die Höhe treiben könnte.

Die FORCE-Ransomware ergreift Maßnahmen, um die einfache Wiederherstellung gesperrter Daten zu verhindern

Dieses bedrohliche Programm, Teil der Phobos Ransomware-Familie, ist für seinen methodischen Ansatz bei der Verschlüsselung bekannt. Im Gegensatz zu einigen Ransomware-Varianten, die infizierte Maschinen völlig funktionsunfähig machen, zielt die Phobos-Malware gezielt auf Dateien zur Verschlüsselung ab und vermeidet kritische Systemdateien, um sicherzustellen, dass das System funktionsfähig bleibt. Es verschlüsselt sowohl lokal gespeicherte als auch über Netzwerke geteilte Dateien und beendet Prozesse im Zusammenhang mit geöffneten Dateien, um Ausnahmen zu verhindern, die darauf basieren, dass Dateien „in Verwendung“ sind, wie z. B. Datenbankprogramme oder Textdatei-Reader.

Um eine doppelte Verschlüsselung zu verhindern, führt die Phobos Ransomware eine Ausschlussliste beliebter Ransomware-Programme. Dateien, die bereits durch Software auf dieser Liste gesperrt wurden, bleiben davon unberührt. Darüber hinaus löscht Phobos die Volume-Schattenkopien, eine gängige Wiederherstellungsoption, um Versuche zur Datenwiederherstellung weiter zu vereiteln.

Um die Persistenz auf den angegriffenen Geräten sicherzustellen, kopiert sich die Malware in den %LOCALAPPDATA%-Pfad und registriert sich mit bestimmten Ausführungsschlüsseln, um sicherzustellen, dass sie bei jedem Systemneustart automatisch gestartet wird. Interessanterweise könnte die Phobos-Ransomware davon absehen, Geräte aufgrund ihres geografischen Standorts anzugreifen, insbesondere solche in wirtschaftlich schwachen Regionen oder geopolitisch ausgerichteten Ländern.

Das Entschlüsseln von durch Ransomware gesperrten Daten ohne das Eingreifen von Cyberkriminellen ist normalerweise unmöglich. Selbst wenn Opfer den Lösegeldforderungen nachkommen, gibt es keine Garantie dafür, dass sie die versprochenen Entschlüsselungsschlüssel oder die versprochene Software erhalten. Daher stellt die Zahlung des Lösegelds nicht nur keine Garantie für die Wiederherstellung der Daten dar, sondern setzt auch illegale Aktivitäten fort.

Das Entfernen von Ransomware aus dem Betriebssystem verhindert zwar eine weitere Verschlüsselung, stellt jedoch keine gefährdeten Dateien wieder her. Die einzig zuverlässige Lösung besteht darin, Dateien aus einem Backup wiederherzustellen, sofern eines verfügbar ist.

Gehen Sie bei der Sicherheit Ihrer Geräte und Daten kein Risiko ein

Benutzer können den Schutz ihrer Daten und Geräte vor Ransomware-Bedrohungen verbessern, indem sie einen mehrschichtigen Ansatz zur Cybersicherheit implementieren. Hier sind einige wirksame Strategien:

  • Halten Sie die Software auf dem neuesten Stand : Aktualisieren Sie Betriebssysteme, Softwareanwendungen und Antivirenprogramme regelmäßig, um Sicherheitslücken zu schließen und vor bekannten Exploits zu schützen. Aktivieren Sie nach Möglichkeit automatische Updates.
  • Installieren Sie vertrauenswürdige Sicherheitssoftware : Verwenden Sie seriöse Anti-Malware-Software, um Ransomware und andere schädliche Bedrohungen zu erkennen und zu entfernen. Stellen Sie sicher, dass die Antivirensoftware regelmäßig aktualisiert wird, um die neuesten Bedrohungen zu erkennen.
  • Seien Sie wachsam bei E-Mail-Anhängen und Links : Seien Sie vorsichtig bei verdächtigen E-Mails, insbesondere bei E-Mails von unbekannten Absendern oder solchen, die unerwartete Anhänge oder Links enthalten. Versuchen Sie, nicht auf Links zuzugreifen oder Anhänge von unerwünschten E-Mails herunterzuladen, da diese Ransomware oder andere Malware enthalten könnten.
  • Daten regelmäßig sichern : Richten Sie eine robuste Sicherungsstrategie ein, indem Sie wichtige Daten regelmäßig auf einer externen Festplatte, einem Cloud-Speicherdienst oder einem NAS-Gerät (Network Attached Storage) sichern. Stellen Sie sicher, dass Backups sicher gespeichert werden und nicht direkt vom Primärsystem aus zugänglich sind, um zu verhindern, dass sie durch Ransomware verschlüsselt werden.
  • Verwenden Sie starke, eindeutige Passwörter : Erstellen Sie sichere, komplexe Passwörter für alle Konten und verwenden Sie nicht dasselbe Passwort für mehrere Konten. Erwägen Sie die Möglichkeit, einen seriösen Passwort-Manager zu verwenden, um Passwörter sicher zu generieren und zu speichern.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren : Aktivieren Sie die Zwei-Faktor-Authentifizierung, um die Sicherheit Ihrer Konten zu maximieren. Bei 2FA müssen Benutzer eine zweite Form der Verifizierung angeben, beispielsweise ihr Passwort oder einen an ihr Mobilgerät gesendeten Code.
  • Informieren Sie Benutzer : Informieren Sie sich und andere über die Gefahren von Ransomware und darüber, wie Sie potenzielle Bedrohungen erkennen und vermeiden können. Schulen Sie Ihre Mitarbeiter in effektiven Praktiken zur Cybersicherheit, einschließlich der Erkennung von Phishing-E-Mails und verdächtigen Websites.
  • Beschränken Sie die Benutzerrechte : Beschränken Sie die Benutzerrechte auf das, was für ihre berufliche Funktion erforderlich ist. Durch die Einschränkung von Benutzerberechtigungen kann verhindert werden, dass sich Ransomware seitlich über Netzwerke ausbreitet und auf sensible Daten zugreift.

    • Durch die Umsetzung dieser proaktiven Maßnahmen können Benutzer die Wahrscheinlichkeit, Opfer von Ransomware-Angriffen zu werden, verringern und ihre Daten und Geräte deutlich besser schützen.

    Der von FORCE Ransomware hinterlassene Lösegeldschein lautet:

    'Your files are encrypted.

    AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
    Write to e-mail: data199@mailum.com
    Write this ID in the title of your message -
    Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
    You can download TOX messenger here hxxps://tox.chat/
    Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

    Free decryption as guarantee
    Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
    I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

    How to obtain Bitcoins
    Contact me and I will give you instructions on how to purchase bitcoins.

    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
    The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'

    Im Trend

    Am häufigsten gesehen

    Wird geladen...