OVO Ransomware
Die OVO Ransomware ist eine neue bedrohliche Variante der berüchtigten Dharma Ransomware-Familie. Obwohl die OVO Ransomware keine wesentlichen Verbesserungen gegenüber der typischen Dharma Ransomware-Bedrohung aufweist, handelt es sich immer noch um eine leistungsstarke Malware, die Benutzer vom Zugriff auf ihre Dateien abhalten kann. Der von der Bedrohung verwendete Verschlüsselungsalgorithmus wirkt sich auf eine Vielzahl gängiger Dateitypen aus, darunter MS Office-Dokumente, PDFs, Bilder, Fotos, Audio- und Videodateien, Datenbanken, Archive usw.
Bei jeder verschlüsselten Datei wird der Name erheblich geändert. Die Bedrohung fügt dem ursprünglichen Dateinamen eine für das Opfer eindeutige ID-Zeichenfolge hinzu, gefolgt von einer E-Mail-Adresse unter der Kontrolle der Hacker und schließlich ".OVO" als neue Erweiterung. Die E-Mail lautet "dable19@mail.fr". Nach dem typischen Verhalten der Dharma Ransomware- Varianten löscht die OVO Ransomware nach Abschluss ihrer Verschlüsselungsroutine ihre Lösegeldnotiz in zwei verschiedenen Formen - einem Popup-Fenster, in dem die Hauptnachricht der Hacker und Textdateien mit dem Namen 'FILES ENCRYPTED.txt' angezeigt wird ', die eine abgeschnittene Version der Notiz enthält.
Gemäß den Anweisungen im Popup-Fenster müssen Opfer der OVO Ransomware den Cyberkriminellen einen nicht festgelegten Betrag zahlen, wenn sie den Entschlüsselungsschlüssel erhalten möchten, der zur potenziellen Wiederherstellung ihrer Dateien erforderlich ist. Als Kommunikationskanäle geben die Hacker zwei E-Mail-Adressen an. Die Haupt-E-Mail-Adresse ist dieselbe wie die in den Dateinamen angegebene: "dable19@mail.fr." Wenn Benutzer innerhalb von 12 Stunden keine Antwort erhalten, werden sie an die sekundäre E-Mail-Adresse "airbusbtc@goat.si" weitergeleitet.
Der vollständige Text des Lösegeldscheins lautet:
'IHRE DATEIEN SIND EINGESCHRIEBEN
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail dable19@mail.fr IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden über den Link beantwortet wurden, schreiben Sie uns per E-Mail: airbusbtc@goat.si
Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu einem erhöhten Preis führen (sie erhöhen ihre Gebühr zu unserer) oder Sie können Opfer eines Betrugs werden. '
Der Hinweis in der Textdatei lautet:
'Alle Ihre Daten wurden uns gesperrt
Du willst zurückkehren?
Schreiben Sie eine E-Mail an dable19@mail.fr oder airbusbtc@goat.si. '
