Gac Ransomware

Die Gac Ransomware ist eine potenzielle Krypto-Locker Bedrohung, die nachweislich zur berüchtigten und äußerst produktiven Dharma Ransomware-Familie gehört. Gac zeigt wenig Abweichung von der Standard- Dharma- Variante. Die wichtigsten Aspekte sind die als Kommunikationskanal verwendeten E-Mail-Adressen und die eindeutige Erweiterung, die an die Namen verschlüsselter Dateien angehängt wird.

Der Verschlüsselungsprozess der Gac Ransomware ist stark genug, damit die Opfer nicht auf ihre auf dem gefährdeten Computersystem gespeicherten Dateien zugreifen oder diese verwenden können. Nach dem typischen Dharma-Muster ändert Gac drastisch auch die Namen der Dateien, die davon betroffen sind. Es wird eine Zeichenfolge hinzugefügt, die die eindeutige ID angibt, die dem jeweiligen Opfer zugewiesen wurde, gefolgt von einer E-Mail-Adresse und schließlich '.gac' als neue Erweiterung. Die E-Mail-Adresse lautet "getacrypt@tuta.io". Wieder folgt Gac dem Verhalten einer typischen, von Dharma hervorgebrachten Ransomware und liefert zwei unterschiedliche Lösegeldnotizen. Zunächst werden Textdateien mit dem Namen "FILES ENCRYPTED.txt" in jedem Ordner mit verschlüsselten Daten abgelegt. Die Hauptnotiz wird jedoch in einem Popup-Fenster angezeigt.

Durch das Öffnen der von der Bedrohung erstellten Textdateien erhalten betroffene Benutzer nur wenige nützliche Informationen, da der darin enthaltene Text sie lediglich auffordert, sich entweder an die oben genannte Adresse "getacrypt@tuta.io" oder an eine sekundäre Adresse unter "getacrypt@airmail.cc" zu wenden. Das Popup-Fenster gibt an, dass die Reserve-E-Mail-Adresse nur verwendet werden soll, wenn die Opfer innerhalb von 12 Stunden nach dem Senden einer Nachricht an die primäre E-Mail keine Antwort von den Hackern erhalten. Es werden auch mehrere Warnungen aufgeführt. Betroffene Benutzer sollten darauf verzichten, die Namen der verschlüsselten Dateien zu ändern oder Lösungen von Drittanbietern zu verwenden, um sie zu entschlüsseln.

Der vollständige Text in den Dateien 'FILES ENCRYPTED.txt' lautet:

'Alle Ihre Daten wurden von uns gesperrt

Du willst zurückkehren?

Schreiben Sie eine E-Mail an getacrypt@tuta.io oder getacrypt@airmail.cc. '

Die im Popup-Fenster angezeigte Lösegeldnotiz lautet:

'Ihre Dateien sind verschlüsselt

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!

Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail getacrypt@tuta.io IHRE ID 1E857D00

Wenn Sie nicht innerhalb von 12 Stunden über den Link beantwortet wurden, schreiben Sie uns per E-Mail: getacrypt@airmail.cc

Beachtung!

Benennen Sie verschlüsselte Dateien nicht um.

Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.

Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu einem erhöhten Preis führen (sie erhöhen ihre Gebühr zu unserer) oder Sie können Opfer eines Betrugs werden. '