RZA-Ransomware

Trotz fehlender wesentlicher Verbesserungen ist die RZA Ransomware eine neue Variante der Dharma- Malware-Familie. Dennoch ist das eine Bedrohung, die Benutzer vom Zugriff auf ihre eigenen persönlichen oder geschäftsbezogenen Dateien abhalten kann. Durch die Initiierung eines Verschlüsselungsprozesses mit einem starken kryptografischen Algorithmus macht die RZA Ransomware alle auf dem kompromittierten Computer gespeicherten Dokumente, PDFs, Archive, Datenbanken, Fotos usw. unbrauchbar.

Jede verschlüsselte Datei wird dadurch gekennzeichnet, dass ihr Name drastisch geändert wird. Die Bedrohung fügt zunächst eine ID-Nummer für das jeweilige Opfer an, gefolgt von einer E-Mail-Adresse unter der Kontrolle der Angreifer und schließlich „.RZA" als neue Dateiendung. Die in den Namen der verschlüsselten Dateien enthaltene E-Mail-Adresse lautet „ghostdog@onionmail.org".

Wenn die Bedrohung die Dateien auf dem System gesperrt hat, sendet sie ihre Lösegeldforderungen. Den Benutzern bleiben zwei Versionen der Lösegeldforderungsnachricht. Eine wird über eine Textdatei namens 'info.txt' geliefert, während die entsprechenden Anweisungen in einem Popup-Fenster angezeigt werden.

Anforderungen von RZA Ransomware

Beiden von der Drohung übermittelten Notizen fehlen viele wichtige Details. Sie geben nicht die Summe des von den Hackern geforderten Lösegelds an oder ob das Geld mit einer der verschiedenen Kryptowährungen überwiesen werden muss. Normalerweise erlauben Ransomware-Betreiber ihren Opfern, ein paar kleine Dateien zu senden, die dann kostenlos entschlüsselt werden. Doch die Notiz von RZA erwähnt ein solches Angebot nicht.

Darin heißt es lediglich, dass Opfer zuerst eine Nachricht an die E-Mail-Adresse „ghostdog@onionmail.org" senden sollten. Wenn sie innerhalb von 12 Stunden keine Antwort erhalten, sollten betroffene Benutzer versuchen, die Reserveadresse unter „ghostdog@msgsafe.io" zu kontaktieren. Der Rest der Lösegeldforderung besteht aus verschiedenen Warnungen.

Der vollständige Text der im Popup-Fenster angezeigten Nachricht lautet:

' DEINE DATEIEN SIND VERSCHLÜSSELT
GEISTHUND

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die Mail: ghostdog@onionmail.org IHRE ID 1E857D00
Wenn Sie innerhalb von 12 Stunden nicht per Mail geantwortet haben, schreiben Sie uns eine andere Mail:ghostdog@msgsafe.io

BEACHTUNG!
Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um zu viel zahlende Agenten zu vermeiden

Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

In der Datei „info.txt" finden Opfer die folgenden Anweisungen:

alle deine daten wurden uns gesperrt
Sie möchten zurückkehren?
schreiben Sie eine E-Mail an ghostdog@onionmail.org oder ghostdog@msgsafe.io .'