Khonsari Ransomware

Die Khonsari Ransomware ist eine brandneue Ransomware, die entwickelt wurde, um Windows-basierte PCs anzugreifen. Dazu nutzen die Gauner der Ransomware die kürzlich entdeckte Schwachstelle CVE-2021-44228, auch bekannt als Log4Shell , Logjam und Log4j, aus. Letzteres ist ein kritischer Fehler, der es Hackern ermöglicht, Remote-Code-Ausführung anzuwenden, um ungepatchte Server zu kapern und sie in ein Botnet zu stecken.

Im Gegensatz zu anderen gängigen Ransomware-Programmen, die derzeit im Umlauf sind, verbreitet sich Khonsari nicht über Spam-Mails oder Malvertising. Um einen PC mit Khonsari zu infizieren, müssen die Verantwortlichen zunächst die oben erwähnte Schwachstelle ausnutzen, um das Zielsystem zu zwingen, einen beliebigen Code herunterzuladen. Einmal ausgeführt, gibt dieser Code den Cyberkriminellen die totale Kontrolle über das Zielsystem und bietet endlose Möglichkeiten, alle Arten von Malware, einschließlich Khonsari, einzuschleusen.

Sollte sich der Gegner zu diesem Zeitpunkt entscheiden, eine Khonsari-Infektion zu starten, verschlüsselt die Ransomware viele Dateitypen und generiert die folgende Lösegeldforderung:

' Ihre Dateien wurden von der Familie Khonsari verschlüsselt und gestohlen. Wenn Sie entschlüsseln möchten, rufen Sie (225) 287-1309 an oder senden Sie eine E-Mail an karenkhonsari@gmail.com . Wenn Sie nicht wissen, wie man BTC kauft, verwenden Sie eine Suchmaschine, um Börsen zu finden. ÄNDERN ODER LÖSCHEN SIE DIESE DATEI ODER VERSCHLÜSSELTE DATEIEN NICHT. DANN SIND IHRE DATEIEN MÖGLICHERWEISE NICHT WIEDERHERSTELLBAR.'

Der Hinweis ist in Bezug auf die Anweisungen ziemlich einfach, ebenso wie die Khonsari Ransomware selbst. Die Nutzlast von Khonsari ist nur 12 KB groß, was erklärt, warum sie bei weitem nicht so ausgereift ist wie andere bemerkenswerte Bedrohungen. Forscher spekulieren, dass der in der Lösegeldforderung angegebene Kontakt eine falsche Flagge sein könnte und dass Karen Khonsari im wirklichen Leben eine natürliche Person sein könnte. Diese Theorie müssen sie jedoch noch bestätigen, weshalb die Khonsari Ransomware vorerst große Risiken birgt.