LIZARD Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
Bedrohungsstufe: | 100 % (Hoch) |
Infizierte Computer: | 12 |
Zum ersten Mal gesehen: | July 24, 2009 |
Zuletzt gesehen: | April 19, 2021 |
Betroffene Betriebssysteme: | Windows |
Die Analyse der LIZARD Ransomware ergab, dass die Bedrohung virtuell mit der LANDSLIDE Ransomware-Malware identisch ist. Die Hauptaspekte, die die LIZARD Ransomware von der LANDSLIDE Ransomware unterscheiden, sind die beiden als Kommunikationskanal verwendeten E-Mail-Adressen und die Dateierweiterung, die an die Namen aller verschlüsselten Dateien angehängt wird.
Benutzer, die mit der LIZARD Ransomware infiziert sind, werden feststellen, dass fast alle auf dem gefährdeten Computer gespeicherten Dateien jetzt drastisch unterschiedliche Namen haben. In der Tat verwendet die Ransomware-Bedrohung ein komplexes Namensmuster für die betroffenen Dateien. Zunächst wird vor dem ursprünglichen Namen eine E-Mail-Adresse "DeathSpicy@yandex.ru" eingefügt, gefolgt von einer Zeichenfolge, die die dem Opfer zugewiesene eindeutige ID darstellt. Gleichzeitig wird '.LIZARD' als neue Dateierweiterung angehängt. Nach Abschluss des Verschlüsselungsprozesses erstellt LIZARD Ransomware zwei Dateien - '# ReadThis.HTA' und '# ReadThis.TXT', die den Text des Lösegeldscheins der Bedrohung enthalten.
Opfern der LIZARD Ransomware wird mitgeteilt, dass sie ein Lösegeld mit Bitcoin zahlen müssen, um das Entschlüsselungstool von den Hackern zu erhalten. In der Notiz wird der genaue Betrag, den die Kriminellen verlangen, nicht erwähnt. Vor der Zahlung haben betroffene Benutzer die Möglichkeit, eine einzelne Datei mit einer Größe zwischen 100 und 200 KB zu senden, die kostenlos entschlüsselt werden kann. Dazu müssen sie eine Nachricht an die E-Mail-Adresse senden, die auch in den Namen der verschlüsselten Dateien enthalten ist. Wenn sie nach 24 nicht beantwortet wurden, sollten Benutzer eine Reservierungs-E-Mail-Adresse an 'DeathSpicy@tutanota.com' senden.
Der vollständige Text der Notiz von LIZARD Ransomware lautet:
'Ihr SERVER / COMPUTER wird von uns verschlüsselt! _
Hallo Admin / Gast!
[ENCRYPTER] => Alle Ihre Daten werden von uns verschlüsselt.
[ENCRYPTER] => Eindeutige Server-ID: [-]
[ENCRYPTER] => Möchten Sie Ihre Daten entschlüsseln?
[ENCRYPTER] => Um uns zu vertrauen, senden Sie uns zuerst eine 100-200 KB-Datei.
Wir werden es entschlüsseln, um Vertrauen für Sie aufzubauen.
[AFTERTRUST] => Was sollten Sie tun, nachdem Sie Vertrauen aufgebaut haben?
Hilfe
((
Alle Ihre Daten sind verschlüsselt,
Wenn Ihre Daten wichtig sind und Sie sie entschlüsseln möchten,
Sie müssen den von uns festgelegten Bitcoin-Betrag bezahlen.
Senden Sie zuerst eine Nachricht an unsere E-Mails, nachdem Sie uns und Ihr Vertrauen bewertet haben.
Führen Sie eine Google-Suche durch, um Bitcoins zu kaufen.
Zum Beispiel: "Bitcoins in Rubel kaufen".
Nach dem Kauf von Bitcoin müssen Sie
Übertragen Sie die Bitcoin in unsere Brieftasche.
Nach der Zahlung wird das Entschlüsselungstool an Sie gesendet
zusammen mit, wie man es richtig ausführt
)
ENCRYPTER @ server ~ $ Um uns zu kontaktieren, senden Sie zunächst eine Nachricht an unsere erste E-Mail.
[FiRsT Email:] DeathSpicy@yandex.ru
ENCRYPTER @ server # Wenn Ihre E-Mail nach 24 Stunden nicht beantwortet wird, wird unsere E-Mail möglicherweise blockiert.
Senden Sie also eine Nachricht an unsere zweite E-Mail.
[SeCoNd E-Mail:] DeathSpicy@tutanota.com
König des Lösegeldes
LIZARD Ran $ omW4rE. '
Aliasnamen
4 Sicherheitsanbieter haben diese Datei als bösartig gekennzeichnet.
Antiviren Software | Erkennung |
---|---|
McAfee-GW-Edition | Trojan.Clicker.Delf.CT |
Ikarus | Trojan-Clicker.Delf.CT |
AntiVir | TR/Clicker.Delf.CT |
a-squared | Trojan-Clicker.Delf.CT!IK |
Deatils zum Dateisystem
# | Dateiname | MD5 |
Erkennungen
Erkennungen: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern erkannt wurden, wie von SpyHunter gemeldet.
|
---|---|---|---|
1. | diskperff.dll | 0be52be18a8508b65f33e704b3e63242 | 0 |