NaS-Ransomware

NaS-Ransomware-Beschreibung

Cyberkriminelle erstellen immer noch neue Ransomware-Bedrohungen basierend auf der Dharma-Malware-Familie. Obwohl es sich um einfache Varianten ohne erweiterte Funktionalitäten handelt, ist die Gefahr dieser Bedrohungen nicht zu unterschätzen. Eine der neuesten, die von infosec-Forschern entdeckt wurde, heißt NaS Ransomware. Der Verschlüsselungsprozess verwendet einen unknackbaren kryptografischen Algorithmus und macht die Wiederherstellung der betroffenen Dateien ohne Zugriff auf den Entschlüsselungsschlüssel nahezu unmöglich.

Als Teil des Verschlüsselungsprozesses markiert die Bedrohung alle gesperrten Dateien, indem sie ihre ursprünglichen Namen ändert. Die NaS-Ransomware hängt eine Zeichenfolge an, die die dem jeweiligen Opfer zugewiesene ID darstellt, gefolgt von einer E-Mail-Adresse unter der Kontrolle der Hacker und schließlich „.NaS" als neue Dateierweiterung. Die betreffende E-Mail-Adresse lautet 'fastnas@fea.st.'

Die Lösegeldforderungsbotschaft der Drohung wird trotz identischem Text in zwei verschiedenen Formen präsentiert. Benutzern wird ein Popup-Fenster angezeigt, während eine Textdatei „FILES ENCRYPTED.txt" auf dem System abgelegt wird.

Details der Lösegeldforderung

Wie für die Dharma Ransomware- Varianten typisch, enthält die Textdatei eine extrem kurze Nachricht, die die betroffenen Benutzer lediglich auffordert, Kontakt aufzunehmen, indem sie die E-Mails der Angreifer senden. Im Fall von NaS lauten die E-Mail-Adressen „fastnas@fea.st" oder „gds134s@mm.st". Die Haupt-Lösegeldforderung wird über das Popup-Fenster geliefert. Es enthält weitaus mehr Details, wie zum Beispiel, dass die Lösegeldzahlung mit der Bitcoin-Kryptowährung erfolgen muss. Der genaue Betrag, den die Hacker verlangen, soll sich daran orientieren, wie schnell die Opfer Kontakt zu ihnen aufnehmen.

Darüber hinaus können betroffene Benutzer eine einzelne verschlüsselte Datei senden, die angeblich kostenlos freigeschaltet wird. Die Datei darf jedoch weniger als 1 MB groß sein und darf keine wertvollen Daten enthalten.

Der im Popup-Fenster angezeigte Volltext lautet:

' Alle Ihre Dateien wurden verschlüsselt!

Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail fastnas@fea.st
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mails: gds134s@mm.st
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Entschlüsselungstool, das alle Ihre Dateien entschlüsselt.

Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 1 Datei zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 1 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen, etc.)

So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Site. Sie müssen sich registrieren, auf „Bitcoins kaufen" klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte zum Kauf von Bitcoins und eine Anleitung für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die in der Textdatei enthaltene Nachricht lautet:

alle deine daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an fastnas@fea.st oder gds134s@mm.st
.'