Lsas Ransomware
Es scheint, dass Cyberkriminelle immer noch die berüchtigte Dharma Ransomware verwenden, um neue Malware-Bedrohungen zu erstellen, um die Computer der Benutzer zu infizieren. Die neueste Variante, die aus dieser Malware-Familie hervorgegangen ist, wird von infosec-Experten als Lsas Ransomware verfolgt. Obwohl es sich um eine Variante ohne wesentliche Verbesserung gegenüber den anderen Dharma- Varianten handelt, sollte die Fähigkeit der Lsas Ransomware, Zerstörung zu verursachen, nicht unterschätzt werden.
Nach der Bereitstellung auf den kompromittierten Systemen leitet die Lsas Ransomware einen starken Verschlüsselungsprozess ein, der zahlreiche dort gespeicherte Dateien sperrt. Eine Vielzahl von Dateitypen wird unbrauchbar gemacht. Opfer haben keinen Zugriff mehr auf ihre Dokumente, Archive, Datenbanken, PDFs und mehr.
Während des Verschlüsselungsprozesses erhält jede betroffene Datei eine eindeutige ID-Zeichenfolge, eine E-Mail-Adresse und eine neue Dateierweiterung, die an ihren ursprünglichen Namen angehängt wird. Die von der Bedrohung verwendete spezifische E-Mail-Adresse lautet „sekurlsa@ml1.net", während die Dateierweiterung „.lsas" lautet. Nachdem die Bedrohung ihre Bedrohungsaufgabe abgeschlossen hat, wird die Bedrohung zwei Lösegeldforderungen von den Angreifern abwerfen.
Details der Lösegeldforderung
Dem typischen Dharma-Verhalten folgend, liefert der Lsas Ransowmare seinen Opfern auch zwei verschiedene Lösegeldscheine aus. Zuerst erstellt die Bedrohung eine Textdatei namens "FILES ENCRYPTED.txt". Es enthält nur ein paar Sätze, die Benutzer dazu bringen, die beiden E-Mail-Adressen der Hacker zu kontaktieren - 'sekurlsa@ml1.net' und 'sekurlsa@mm.st.'Die wichtigsten Anweisungen werden jedoch in einem Popup-Fenster angezeigt. Es zeigt, dass die Lösegeldzahlung mit der Kryptowährung Bitcoin erfolgen muss und Benutzer eine einzelne Datei zur Entschlüsselung kostenlos senden dürfen.Die gewählte Datei darf jedoch weniger als 1 MB groß sein und sollte keine wichtigen Daten enthalten.
Der im Popup-Fenster angezeigte Volltext lautet:
' Alle Ihre Dateien wurden verschlüsselt!
Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail sekurlsa@ml1.net
Schreiben Sie diese ID in den Titel Ihrer Nachricht 1E857D00
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mails: sekurlsa@mm.st
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Entschlüsselungstool, das alle Ihre Dateien entschlüsselt.
Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 1 Datei zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 1 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen, etc.)
So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Site. Sie müssen sich registrieren, auf „Bitcoins kaufen" klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
https://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte zum Kauf von Bitcoins und eine Anleitung für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden. '
Die Textdatei enthält folgende Meldung:
' alle deine Daten wurden uns gesperrt
Sie möchten zurückkehren?
'E-Mail schreiben sekurlsa@ml1.net oder sekurlsa@mm.st '
