Keversen-Ransomware

Nach der Analyse wurde die Keversen-Bedrohung als Ransomware eingestuft, die zu keiner der derzeit etablierten Malware-Familien gehört. Sein Verhalten entspricht jedoch dem von typischer Ransomware. Keversen zielt darauf ab, die anvisierten Computersysteme zu infizieren und die dort gespeicherten Daten über ein starkes Verschlüsselungsverfahren zu sperren. Die Opfer werden dann zu Geld erpresst, wenn sie den Entschlüsselungsschlüssel der Angreifer erhalten wollen. Der Name jeder von der Bedrohung verschlüsselten Datei wird durch das Hinzufügen von '.keversen' als neue Erweiterung geändert. Eine Lösegeldforderung wird in Form einer Datei namens '!=READMY=!.txt' an die kompromittierten Systeme übermittelt.

Übersicht der Lösegeldforderung

Die Details in der Notiz erwähnen, dass die Hacker vor der Verschlüsselung der Dateien des Opfers verschiedene Daten erhalten konnten, die jetzt auf einem Remote-Server gespeichert werden. Sie drohen damit, die sensiblen Informationen an die Öffentlichkeit zu geben oder sie interessierten Parteien zum Verkauf anzubieten, wenn das Opfer beschließt, das Lösegeld nicht zu zahlen. Als Kommunikationskanäle bleiben den Opfern zwei E-Mail-Adressen, die sich in der Notiz befinden – „ithelpnetwork@decorous.cyou“ und „ithelpnetwork@wholeness.business“. Beim Versenden einer Nachricht können Benutzer bis zu drei gesperrte Dateien anhängen, die dann angeblich kostenlos entschlüsselt und zurückgegeben werden.

Der gesamte in der Datei !=READMY=!.txt enthaltene Text lautet:

' ! IHR NETZWERK WURDE KOMPROMISIERT !
Alle Ihre wichtigen Dateien wurden verschlüsselt!
Ihre Dateien sind sicher! Nur modifiziert.
JEDER VERSUCH, EINE DATEI MIT DRITTANBIETER-SOFTWARE WIEDERHERZUSTELLEN, WIRD SIE DAUERHAFT BESCHÄDIGT.

Keine im Internet verfügbare Software kann Ihnen helfen. Wir sind die einzigen, die Ihr Problem lösen können.
Wir haben Daten aus verschiedenen Segmenten Ihres Netzwerks gesammelt. Diese Daten werden derzeit auf einem privaten Server gespeichert und nach Ihrer Zahlung umgehend vernichtet.
Wenn Sie sich entscheiden, nicht zu zahlen, speichern wir Ihre Daten und kontaktieren die Presse oder den Wiederverkäufer oder stellen sie auf der Website unseres Partners zur Verfügung.
Wir suchen nur nach Geld und möchten nicht Ihren Ruf schädigen oder Ihr Geschäft am Laufen hindern.
Wenn Sie eine kluge Wahl treffen, um zu bezahlen, wird all dies sehr schnell und reibungslos gelöst.
Sie können uns 2-3 unwichtige Dateien zusenden und wir entschlüsseln diese kostenlos, um zu beweisen, dass wir Ihre Dateien zurückgeben können.
Kontaktiere uns.
ithelpnetwork@decorous.cyou
ithelpnetwork@wholeness.business
Im Betreff schreiben - id .'