Intel-Ransomware

Forscher haben eine neue Art von Ransomware entdeckt, die als Intel Ransomware bekannt ist. Diese bedrohliche Software infiltriert Geräte, verschlüsselt die gespeicherten Daten und verlangt ein Lösegeld als Gegenleistung für die angebliche Entschlüsselung der kompromittierten Informationen.

Insbesondere werden von Intel-Ransomware betroffene Dateien einem Umbenennungsprozess unterzogen. Die ursprünglichen Dateinamen werden um eine eindeutige, dem Opfer zugewiesene Kennung ergänzt, gefolgt von „.[intellent@ai_download_file]“ und mit der Erweiterung „.intel“ abgeschlossen. Zur Veranschaulichung: Eine Datei mit der ursprünglichen Bezeichnung „1.jpg“ würde nach der Verschlüsselung in „1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel“ umgewandelt werden.

Sobald der Verschlüsselungsprozess abgeschlossen ist, stoßen Opfer auf Lösegeldforderungen, die sowohl in einem Popup-Fenster als auch in Form von Textdateien mit dem Namen „README!.txt“ angezeigt werden. Diese Textdateien werden in jedem verschlüsselten Ordner und auf dem Desktop des Systems abgelegt. Die Analyse des Inhalts der Lösegeldforderung zeigt, dass die Intel Ransomware speziell auf Unternehmen abzielt und doppelte Erpressungstaktiken anwendet. Darüber hinaus ist dieses bedrohliche Programm mit der Dharma-Ransomware- Familie verbunden.

Die Intel-Ransomware verhindert, dass Opfer auf ihre eigenen Daten zugreifen

Die Intel Ransomware demonstriert einen umfassenden Ansatz, indem sie sowohl lokale als auch im Netzwerk freigegebene Dateien verschlüsselt, während wichtige Systemdateien unberührt bleiben, um zu verhindern, dass das System nicht mehr betriebsbereit ist. Insbesondere wird eine Strategie zur Vermeidung doppelter Verschlüsselung eingesetzt, indem Dateien, die von anderer Ransomware gesperrt wurden, ausgeschlossen werden. Allerdings ist diese Methode nicht narrensicher, da sie auf einer vordefinierten Liste basiert, die möglicherweise nicht alle bekannten Ransomware-Varianten umfasst.

Darüber hinaus weist die Intel-Malware eine ausgefeilte Funktionsweise auf, indem sie Prozesse schließt, die mit Dateien verbunden sind, die möglicherweise geöffnet sind, wie z. B. Textdatei-Reader und Datenbankprogramme. Diese proaktive Maßnahme zielt darauf ab, Konflikte bei Dateien zu verhindern, die als „in Verwendung“ gelten, und sicherzustellen, dass sie nicht von der Verschlüsselung ausgenommen sind.

Die Dharma-Ransomware-Familie, zu der auch die Intel-Malware gehört, nutzt strategische Taktiken zur Infiltration und Persistenz. Dazu gehört das Ausschalten der Firewall, um die Infiltration zu erleichtern und der Erkennung zu entgehen. Darüber hinaus umfassen Techniken zur Sicherung der Persistenz:

• Kopieren der Malware in den %LOCALAPPDATA%-Pfad.
• Registrieren Sie es mit bestimmten Run-Tasten.
• Konfigurieren der automatischen Auslösung der Ransomware nach jedem Systemneustart.

Ein bemerkenswerter Aspekt der Dharma-Angriffe ist ihr Potenzial für gezielte Aktionen. Die dieser Familie zugeordneten Programme können Geolokalisierungsdaten sammeln und bei ihren Angriffen Ausnahmen zulassen. Diese Anpassungsfähigkeit impliziert, dass Infektionen politische oder geopolitische Motive haben können oder dass sie gezielt Opfer meiden, die den Lösegeldforderungen wahrscheinlich nicht nachkommen, insbesondere in Regionen mit schwachen wirtschaftlichen Bedingungen.

Um die Wiederherstellungsbemühungen weiter zu erschweren, löscht die Intel-Ransomware möglicherweise die Volumenschattenkopien und behindert so die Wiederherstellung früherer Dateiversionen. Basierend auf umfangreichen Untersuchungen zu Ransomware-Infektionen ist es offensichtlich, dass die Entschlüsselung ohne das Eingreifen der Angreifer in der Regel eine unüberwindbare Herausforderung darstellt.

Die Intel-Ransomware nutzt doppelte Erpressungstaktiken

Der Inhalt der Textdatei dient als kurze Benachrichtigung des Opfers und vermittelt ihm, dass seine Daten verschlüsselt und erfasst wurden. Es fordert das Opfer auf, eine Kommunikation herzustellen, indem es eine E-Mail an die Angreifer sendet.

Im Gegensatz dazu bietet die Popup-Nachricht detailliertere Informationen zur Ransomware-Infektion. Es bekräftigt die Aspekte der Verschlüsselung und des Datendiebstahls und betont die Dringlichkeit der Situation. In der Lösegeldforderung wird eindringlich gewarnt, dass die Nichtbeachtung der Cyberkriminellen innerhalb von 24 Stunden oder die Weigerung, der Lösegeldforderung nachzukommen, zur Offenlegung der gestohlenen Inhalte im Darknet oder zum Verkauf an Konkurrenten des Unternehmens des Opfers führen wird.

Um die Möglichkeit einer Wiederherstellung zu demonstrieren, bietet die Nachricht einen kostenlosen Entschlüsselungstest an, der an einer einzelnen Datei durchgeführt werden kann. Das Opfer wird außerdem ausdrücklich darauf hingewiesen, dass die Inanspruchnahme von Hilfe durch Wiederherstellungsunternehmen zu zusätzlichen finanziellen Verlusten führen könnte, da diese Vermittler in der Regel Gebühren erheben, die zum Lösegeldbetrag hinzukommen.

Allerdings wird häufig beobachtet, dass Opfer, selbst nachdem sie Lösegeldforderungen nachgekommen sind, nicht die versprochenen Entschlüsselungsschlüssel oder Software erhalten. Trotz Erfüllung der Lösegeldforderungen gibt es keine Garantie für die Wiederherstellung der Dateien. Daher raten Forscher dringend davon ab, ein Lösegeld zu zahlen, da es nicht nur die Wiederherstellung der Dateien nicht gewährleistet, sondern auch kriminelle Aktivitäten fortsetzt und unterstützt. Darüber hinaus ist es wichtig zu verstehen, dass das Entfernen von Ransomware zwar die weitere Verschlüsselung von Daten stoppen kann, der Entfernungsprozess jedoch nicht automatisch zuvor gefährdete Dateien wiederherstellt.

Die Intel Ransomware zeigt den folgenden Lösegeldschein als Popup-Fenster an:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Wenn Sie uns nicht innerhalb von 24 Stunden schreiben, beginnen wir mit der Veröffentlichung und dem Verkauf Ihrer Daten im Darknet auf Hackerseiten und bieten die Informationen Ihren Konkurrenten an
Schicken Sie uns eine E-Mail an: intellent.ai@onionmail.org IHRE ID -
Wenn Sie innerhalb von 24 Stunden keine Antwort erhalten haben, schreiben Sie an diese E-Mail:intellent.ai@onionmail.org

WICHTIGE INFORMATIONEN!
Bedenken Sie, dass Ihre Daten, sobald sie auf unserer Leak-Seite auftauchen, jederzeit von Ihren Konkurrenten gekauft werden können. Zögern Sie also nicht lange. Je früher Sie das Lösegeld zahlen, desto eher ist Ihr Unternehmen in Sicherheit.
Wir haben uns alle Ihre Berichte und den Umsatz Ihres Unternehmens angesehen.
Garantie: Wenn wir Ihnen nach der Zahlung keinen Entschlüsseler zur Verfügung stellen oder Ihre Daten nicht löschen, wird uns in Zukunft niemand mehr bezahlen. Wir schätzen unseren Ruf.
Garantieschlüssel: Um zu beweisen, dass der Entschlüsselungsschlüssel vorhanden ist, können wir die Datei (nicht die Datenbank und das Backup) kostenlos testen.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Gehen Sie nicht zu Wiederherstellungsunternehmen – sie sind im Wesentlichen nur Zwischenhändler. Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unserer Gebühr). Wir sind die einzigen, die über die Entschlüsselungsschlüssel verfügen.

Die von Intel Ransomware erstellten Textdateien enthalten die folgende Meldung:

Ihre Daten wurden gestohlen und verschlüsselt!

Schreiben Sie uns eine E-Mail

intellent.ai@onionmail.org'