Nomad-Ransomware

Die Nomad Ransomware ist eine Variante der produktiven Dharma-Malware-Familie. Als solches weicht es nicht vom typischen Dharma-Verhalten ab. Dennoch werden alle Dateien, die durch die Bedrohung verschlüsselt wurden, aufgrund der Verschlüsselung mit einem starken kryptografischen Algorithmus unzugänglich und unbrauchbar. Die Angreifer erpressen ihre Opfer dann um Geld, indem sie versprechen, ihnen den erforderlichen Entschlüsselungsschlüssel und das Softwaretool zu senden.

Immer wenn die Nomad Ransomware eine Datei verschlüsselt, ändert sie den ursprünglichen Namen dieser Datei. Die Bedrohung hängt eine ID-Zeichenfolge an, gefolgt von einer E-Mail-Adresse und schließlich einer neuen Dateierweiterung. Die von der Nomad Ransomware verwendete E-Mail-Adresse lautet „nomad.crypt@onionmail.org", während die Erweiterung „.nomad" lautet. Anschließend werden zwei Lösegeldforderungen an das kompromittierte Gerät übermittelt – eine in einer Textdatei namens „info.txt" und eine weitere in einem Popup-Fenster.

Übersicht der Lösegeldforderung

Die beiden von der Nomad Ransomware erstellten Notizen folgen eng dem typischen Dharma- Modell. Die Textdatei besagt lediglich, dass Benutzer Kontakt zu den Angreifern aufnehmen müssen und hinterlässt ihnen zwei E-Mail-Adressen – „nomad.crypt@onionmail.org" und „nomad.crypt@msgsafe.io". Auch die Anleitung im Pop-up-Fenster fehlt trotz der Länge an aussagekräftigen Details. Sie wiederholen dieselbe E-Mail-Adresse und warnen die Opfer, keine der verschlüsselten Dateien umzubenennen.

Der vollständige Text der Notiz im Popup-Fenster lautet:

' DEINE DATEIEN SIND VERSCHLÜSSELT

1024

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die Mail: nomad.crypt@onionmail.org IHRE ID -
Wenn Sie innerhalb von 12 Stunden nicht per Mail geantwortet haben, schreiben Sie uns eine andere Mail: nomad.crypt@msgsafe.io

BEACHTUNG!

Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um zu viel zahlende Agenten zu vermeiden

Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die Textdatei enthält folgende Meldung:

alle deine daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an nomad.crypt@onionmail.org oder nomad.crypt@msgsafe.io .'