Threat Database Ransomware LIZARD Ransomware

LIZARD Ransomware

Wertungsliste der Bedrohung

Bedrohungsstufe: 100 % (Hoch)
Infizierte Computer: 12
Zum ersten Mal gesehen: July 24, 2009
Zuletzt gesehen: April 19, 2021
Betroffene Betriebssysteme: Windows

Die Analyse der LIZARD Ransomware ergab, dass die Bedrohung virtuell mit der LANDSLIDE Ransomware-Malware identisch ist. Die Hauptaspekte, die die LIZARD Ransomware von der LANDSLIDE Ransomware unterscheiden, sind die beiden als Kommunikationskanal verwendeten E-Mail-Adressen und die Dateierweiterung, die an die Namen aller verschlüsselten Dateien angehängt wird.

Benutzer, die mit der LIZARD Ransomware infiziert sind, werden feststellen, dass fast alle auf dem gefährdeten Computer gespeicherten Dateien jetzt drastisch unterschiedliche Namen haben. In der Tat verwendet die Ransomware-Bedrohung ein komplexes Namensmuster für die betroffenen Dateien. Zunächst wird vor dem ursprünglichen Namen eine E-Mail-Adresse "DeathSpicy@yandex.ru" eingefügt, gefolgt von einer Zeichenfolge, die die dem Opfer zugewiesene eindeutige ID darstellt. Gleichzeitig wird '.LIZARD' als neue Dateierweiterung angehängt. Nach Abschluss des Verschlüsselungsprozesses erstellt LIZARD Ransomware zwei Dateien - '# ReadThis.HTA' und '# ReadThis.TXT', die den Text des Lösegeldscheins der Bedrohung enthalten.

Opfern der LIZARD Ransomware wird mitgeteilt, dass sie ein Lösegeld mit Bitcoin zahlen müssen, um das Entschlüsselungstool von den Hackern zu erhalten. In der Notiz wird der genaue Betrag, den die Kriminellen verlangen, nicht erwähnt. Vor der Zahlung haben betroffene Benutzer die Möglichkeit, eine einzelne Datei mit einer Größe zwischen 100 und 200 KB zu senden, die kostenlos entschlüsselt werden kann. Dazu müssen sie eine Nachricht an die E-Mail-Adresse senden, die auch in den Namen der verschlüsselten Dateien enthalten ist. Wenn sie nach 24 nicht beantwortet wurden, sollten Benutzer eine Reservierungs-E-Mail-Adresse an 'DeathSpicy@tutanota.com' senden.

Der vollständige Text der Notiz von LIZARD Ransomware lautet:

'Ihr SERVER / COMPUTER wird von uns verschlüsselt! _

Hallo Admin / Gast!

[ENCRYPTER] => Alle Ihre Daten werden von uns verschlüsselt.

[ENCRYPTER] => Eindeutige Server-ID: [-]

[ENCRYPTER] => Möchten Sie Ihre Daten entschlüsseln?

[ENCRYPTER] => Um uns zu vertrauen, senden Sie uns zuerst eine 100-200 KB-Datei.

Wir werden es entschlüsseln, um Vertrauen für Sie aufzubauen.

[AFTERTRUST] => Was sollten Sie tun, nachdem Sie Vertrauen aufgebaut haben?

Hilfe

((

 Alle Ihre Daten sind verschlüsselt,

 Wenn Ihre Daten wichtig sind und Sie sie entschlüsseln möchten,

 Sie müssen den von uns festgelegten Bitcoin-Betrag bezahlen.

 Senden Sie zuerst eine Nachricht an unsere E-Mails, nachdem Sie uns und Ihr Vertrauen bewertet haben.

 Führen Sie eine Google-Suche durch, um Bitcoins zu kaufen.

 Zum Beispiel: "Bitcoins in Rubel kaufen".

 Nach dem Kauf von Bitcoin müssen Sie

 Übertragen Sie die Bitcoin in unsere Brieftasche.

 Nach der Zahlung wird das Entschlüsselungstool an Sie gesendet

 zusammen mit, wie man es richtig ausführt

)

ENCRYPTER @ server ~ $ Um uns zu kontaktieren, senden Sie zunächst eine Nachricht an unsere erste E-Mail.

[FiRsT Email:] DeathSpicy@yandex.ru

ENCRYPTER @ server # Wenn Ihre E-Mail nach 24 Stunden nicht beantwortet wird, wird unsere E-Mail möglicherweise blockiert.

Senden Sie also eine Nachricht an unsere zweite E-Mail.

[SeCoNd E-Mail:] DeathSpicy@tutanota.com

König des Lösegeldes

LIZARD Ran $ omW4rE. '

Aliasnamen

4 Sicherheitsanbieter haben diese Datei als bösartig gekennzeichnet.

Antiviren Software Erkennung
McAfee-GW-Edition Trojan.Clicker.Delf.CT
Ikarus Trojan-Clicker.Delf.CT
AntiVir TR/Clicker.Delf.CT
a-squared Trojan-Clicker.Delf.CT!IK

Deatils zum Dateisystem

LIZARD Ransomware kann die folgende(n) Datei(en) erstellen:
# Dateiname MD5 Erkennungen
1. diskperff.dll 0be52be18a8508b65f33e704b3e63242 0

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...