SWP Ransomware

Die berüchtigte Dharma-Familie von Ransomware-Bedrohungen ist nach wie vor bei Cyberkriminellen beliebt. Neue Varianten, die darauf basieren, werden fast täglich entdeckt. Eine der neuesten Beobachtungen in freier Wildbahn heißt SWP Ransomware. Als Variante der Dharma Ransomware weist die SWP Ransomware keine wesentlichen Abweichungen oder Verbesserungen gegenüber ihren Vorgängern auf. Die Bedrohung funktioniert auf typische Ransomware-Art und Weise und sperrt die Computer der Opfer mit einem leistungsstarken kryptografischen Algorithmus und erpresst sie dann gegen Geld im Austausch für die mögliche Wiederherstellung.

In der Tat kann die SWP-Ransomware zahlreiche Dateitypen beeinflussen und sie unzugänglich und unbrauchbar machen. Außerdem werden die Namen der verschlüsselten Dateien drastisch geändert, was bei Dharma-Varianten häufig vorkommt. Im Fall von SWP wird eine ID-Zeichenfolge, die den bestimmten Opfern zugewiesen wurde, an den ursprünglichen Dateinamen angehängt. Auf die ID folgt eine E-Mail-Adresse unter der Kontrolle der Hacker, die für die Freisetzung von SWP-Ransomware verantwortlich sind - "eusa@tuta.io". Schließlich hängt die Bedrohung '.SWP' als neue Dateierweiterung an. Betroffene Benutzer finden eine Reihe von Anweisungen, die die Hacker hinterlassen haben, in Textdateien mit dem Namen "FILES ENCRYPTED.txt" und als Meldung in einem Popup-Fenster.

Die Textdateien selbst bieten wenig Klarheit, da sie den Opfern lediglich sagen, dass sie entweder die E-Mail "eusa@tuta.io" oder eine alternative Adresse unter "s1m4@protonmail.ch" kontaktieren sollen. Das Popup-Fenster zeigt an, dass die sekundäre E-Mail-Adresse erst nach Ablauf von 12 Stunden verwendet werden soll, ohne dass Benutzer eine Antwort von der ersten erhalten. Der Lösegeldschein warnt die Opfer auch davor, die verschlüsselten Dateien umzubenennen oder zu versuchen, sie mit Tools von Drittanbietern zu entschlüsseln, da dies nachteilige Auswirkungen haben könnte.

Der vollständige Befehlssatz, der im Popup-Fenster angezeigt wird, lautet:

'IHRE DATEIEN SIND EINGESCHRIEBEN

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!

Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail eusa@tuta.io IHRE ID 1E857D00

Wenn Sie nicht innerhalb von 12 Stunden über den Link beantwortet wurden, schreiben Sie uns per E-Mail: s1m4@protonmail.ch

Beachtung!

Benennen Sie verschlüsselte Dateien nicht um.

Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.

Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu einem erhöhten Preis führen (sie erhöhen ihre Gebühr zu unserer) oder Sie können Opfer eines Betrugs werden. '

Die Nachricht 'FILES ENCRYPTED.txt' lautet:

'Alle Ihre Daten wurden uns gesperrt

Du willst zurückkehren?

Schreiben Sie eine E-Mail an eusa@tuta.io oder s1m4@protonmail.ch '