Po Ransomware

Die Po Ransomware ist eine Variante der berüchtigten Dharma-Malware-Familie. Cyberkriminelle können die Bedrohung nutzen, um die Daten ihrer Opfer zu sperren. Ransomware-Bedrohungen wurden speziell entwickelt, um wichtige Dateien wie Dokumente, PDFs, Archive, Datenbanken, Fotos usw. zu verschlüsseln. Die betroffenen Daten werden dann von den Angreifern ausgenutzt, um Geld von ihren Opfern zu erpressen.

Die Po-Ransomware folgt dem typischen Verhalten von Dharma- Varianten. Es ändert die Namen der gesperrten Dateien, indem es ihnen eine ID-Zeichenfolge, eine E-Mail und eine neue Dateierweiterung anhängt. Die den Dateinamen hinzugefügte E-Mail-Adresse lautet „recovery2022@tutanota.com“, während die Dateierweiterung „.Po“ lautet. Die Bedrohung hinterlässt außerdem zwei Lösegeldforderungen auf den infizierten Systemen.

Eine der Lösegeld fordernden Nachrichten wird als Textdatei mit dem Namen „info.txt“ zugestellt. Die Anweisungen in der Datei sind äußerst kurz und betreffen hauptsächlich die Aufforderung an die Benutzer, die Angreifer zu kontaktieren, indem sie ihre beiden E-Mail-Adressen senden – „recovery2022@tutanota.com“ oder „mr.helper@gmx.com“. Eine längere Lösegeldforderung wird in einem neu erstellten Popup-Fenster angezeigt. Hier wird die Drohung wiederholen, dass Opfer Kontakt zu Cyberkriminellen aufnehmen müssen. Der Hinweis enthält jedoch auch zahlreiche Warnungen, die Benutzer auffordern, die verschlüsselten Dateien nicht umzubenennen oder zu versuchen, sie mit Tools von Drittanbietern wiederherzustellen, da dies zu dauerhaften Schäden führen könnte.

Die Nachricht in der Textdatei lautet:

'alle Ihre Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an recovery2022@tutanota.com oder mr.helper@gmx.com.

Das Popup-Fenster zeigt den folgenden Hinweis:

' IHRE DATEIEN SIND VERSCHLÜSSELT
1024
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: recovery2022@tutanota.com IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden per E-Mail geantwortet haben, schreiben Sie uns eine andere E-Mail: mr.helper@gmx.com
AUFMERKSAMKEIT!
Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden. '