Pandora (TeslaRVNG) Ransomware

Cybersicherheitsforscher haben eine weitere Ransomware-Bedrohung entdeckt, die unter dem Namen Pandora bekannt ist. Anders als bei der vorherigen Malware handelt es sich diesmal jedoch um eine Variante der TeslaRVNG- Familie. Mit Ransomware infizierte Systeme werden einer Datenverschlüsselung unterzogen. Der von der Bedrohung verwendete Verschlüsselungsalgorithmus in Militärqualität hinterlässt die Dateien des Opfers in einem unbrauchbaren Zustand mit praktisch null Chance auf Wiederherstellung, ohne den richtigen Entschlüsselungsschlüssel zu haben.

Der ursprüngliche Name jeder von der Pandora (TeslaRVNG) Ransomware gesperrten Datei wird erheblich geändert. Zunächst fügt die Bedrohung eine ID-Zeichenfolge hinzu, die für das spezifische Opfer generiert wurde. Als nächstes wird eine E-Mail-Adresse unter der Kontrolle der Hacker angehängt. Dann folgt auf den üblichen Namen der Datei „.Pandora“ als neue Dateierweiterung. Eine Datei namens „Picture1.png“ wird also in „ID_String.[Harold.Winter1900@mailfence.com].Picture1.png.Pandora“ umbenannt. Nach dem Verschlüsseln aller Zieldateitypen auf dem System erstellt Pandora (TeslaRVNG) eine Textdatei mit dem Namen „Pandora.txt“ auf dem Desktop.

Details der Lösegeldforderung

Die Textdatei enthält eine Lösegeldforderungsnachricht von den Betreibern der Bedrohung. Laut der Lösegeldforderung betreiben die Bedrohungsakteure hinter der Malware ein doppeltes Erpressungsschema. Die Cyberkriminellen sperren nicht nur die Dateien ihrer Opfer, sondern behaupten auch, an verschiedene sensible und wertvolle Dateien gelangt zu sein.

Die gesammelten Daten können aus persönlichen Daten der Mitarbeiter des angegriffenen Unternehmens, Finanzinformationen, Herstellungsdokumenten und mehr bestehen. Die Angreifer drohen damit, die Daten des Unternehmens öffentlich zu veröffentlichen, wenn ihre Forderungen nicht erfüllt werden. Gleichzeitig werden den Opfern zwei E-Mail-Adressen zur Verfügung gestellt, über die sie mit den Hackern Kontakt aufnehmen können – „Harold.Winter1900@mailfence.com“ und „Harold.Winter1900@cyberfear.com“.

Der vollständige Text der Anweisungen, die die Pandora (TeslaRVNG) Ransomware hinterlassen hat, lautet:

' Aufgrund von Sicherheitslücken wurden Sie gehackt.
Alle Ihre Dateien werden derzeit von PANDORA verschlüsselt.

Um Ihre Daten zu entschlüsseln, kontaktieren Sie uns unter:
E-Mail 1: Harold.Winter1900@mailfence.com
E-Mail 2: Harold.Winter1900@cyberfear.com

Erwähnung - als Ihre ID in E-Mail oder Titel

Aufmerksamkeit!

LÖSCHEN SIE KEINE Dateien im Ordner c:\pandora, sonst können wir Ihre Dateien nicht entschlüsseln

Das Spielen mit verschlüsselten Dateien kann zu dauerhaftem Datenverlust führen.

Je schneller Sie schreiben, desto weniger Zeit verschwenden Sie und erholen sich früher und erhalten möglicherweise einen günstigeren Preis

Unser Unternehmen schätzt seinen Ruf. Wir geben alle Garantien für die Entschlüsselung Ihrer Dateien, z. B. die Testentschlüsselung einiger von ihnen (nicht kritische, für Preise >30.000 entschlüsseln wir sogar kritische und senden Screenshots der geöffneten Datei).

Auch sensible Daten auf Ihrem System wurden HERUNTERGELADEN und wir können sie veröffentlichen, wenn wir nichts von Ihnen hören
Zu den Daten können gehören:

Persönliche Daten der Mitarbeiter, Lebensläufe, DL, SSN.

Private Finanzinformationen, einschließlich: Kundendaten, Rechnungen, Budgets, Jahresberichte, Kontoauszüge.

Fertigungsdokumente einschließlich: Datagramme, Schemata, Zeichnungen im Solidworks-Format

Und mehr… '