Pay Ransomware

Cybersicherheitsforscher haben eine weitere schädliche Ransomware-Bedrohung entdeckt. Die Bedrohung mit dem Namen Pay Ransomware, die zur Xorist Ransomware-Familie gehört, behält die starken Fähigkeiten dieser Ransomware-Familie bei und kann den von ihr infizierten Systemen erheblichen Schaden zufügen. Durch die Ausführung einer Verschlüsselungsroutine mit einem militärtauglichen kryptografischen Algorithmus kann die Pay Ransomware eine Vielzahl von Dateitypen effektiv unbrauchbar machen. Die Angreifer erpressen dann das Opfer, indem sie die verschlüsselten Daten als Geisel nehmen.

Immer wenn die Pay Ransomware eine Datei verarbeitet, ändert sie auch den ursprünglichen Namen dieser Datei, indem sie „.Pay“ als neue Erweiterung hinzufügt. Danach wird die Malware fortfahren, ihre Lösegeld fordernde Nachricht zu übermitteln. Um sicherzustellen, dass die betroffenen Benutzer die Anweisungen des Hackers sehen, generiert die Bedrohung eine Textdatei mit dem Namen „HOW TO DECRYPT FILES.txt“ und zeigt sie in einem Popup-Fenster an.

Anforderungen im Überblick

Die im Popup-Fenster angezeigte Lösegeldforderung und die in der Textdatei enthaltene sind identisch. Laut der Mitteilung wollen die Bedrohungsakteure hinter der Pay Ransomware ein Lösegeld von genau 50 US-Dollar erhalten. Sie akzeptieren jedoch nur Zahlungen in Bitcoin, wobei die Gelder an die in der Notiz angegebene Krypto-Wallet-Adresse überwiesen werden müssen. Nach der Zahlung müssen die Opfer den qTox-Chat-Client herunterladen, um angeblich den für die Wiederherstellung ihrer Daten erforderlichen Entschlüsselungsschlüssel von den Angreifern zu erhalten. Der Hinweis warnt davor, dass die Opfer nur 5 Versuche haben, den richtigen Code einzugeben, und dass das Überschreiten der Versuchsgrenze anscheinend alle gesperrten Daten zerstört.

Der vollständige Text der Lösegeldforderung lautet:

' Achtung! Alle Ihre Dateien sind verschlüsselt!
Um Ihre Dateien wiederherzustellen und darauf zuzugreifen,
Senden Sie uns Bitcoin im Wert von 50 USD an diese Adresse

bc1qmsfh4lz8nar89zvxkverwurkjrmg4d9vqjgj7g
(?? Bitcoin-Adresse ??)

Sie haben 5 Versuche, den Code einzugeben.
Wenn diese Zahl überschritten ist,
alle Daten werden unwiederbringlich zerstört.
Seien Sie vorsichtig, wenn Sie den Code eingeben.

Sobald Sie uns die Zahlung senden, überprüfen Sie den Code des qTox-Clients, den Sie herunterladen müssen, damit wir Ihnen den Entschlüsselungscode senden können (Lesen Sie weiter unten, was der qTox-Client ist).

Wenn Sie es mit uns in Kontakt bringen möchten, können Sie das Open Source-Projekt qTox herunterladen und mich zu dieser ID hinzufügen (Sie müssen uns kontaktieren, um Ihren Code nach der Zahlung zu erhalten).
ICH WÜRDE:
9F15A8EE857F37F03C77A7723D50C47BBCA37 60997A993AB20D7D2A68C59F43D5EFD8AAD77B7

Hinweis: Hier können Ihnen keine Antivirenprogramme helfen. Sie entfernen nur den Client, der dies startet, und löschen jede Chance, Ihre Dateien zu entschlüsseln. Viel Glück! '