Temlo-Ransomware

Eine neue Variante aus der VoidCrypt Ransomware-Familie wurde in freier Wildbahn entfesselt. Die Bedrohung heißt Temlo Ransomware und kann den angegriffenen Computern massiven Schaden zufügen. Wie alle anderen Varianten der Familie ist auch Temlo darauf ausgelegt, auf bestimmte Dateitypen abzuzielen und diese mithilfe eines unknackbaren kryptografischen Algorithmus zu sperren. Danach versuchen die Cyberkriminellen, ihre Opfer gegen Geld zu erpressen, im Austausch für den Entschlüsselungsschlüssel und das Tool, das möglicherweise die gesperrten Informationen wiederherstellen könnte.

Technische Details

Als Teil ihres Verschlüsselungsprozesses ändert die Temlo Ransomware auch die ursprünglichen Namen der betroffenen Dateien. Die Bedrohung folgt den Namenskonventionen der VoidCrypt- Familie. Es fügt eine E-Mail-Adresse, eine dem Opfer zugewiesene ID-Nummer und eine neue Dateierweiterung an.

Die in den Namen der verschlüsselten Dateien verwendete E-Mail-Adresse lautet "temloown@gmail.com". Die neue Dateierweiterung ist '.temlo'. Opfer der Bedrohung erhalten eine Lösegeldforderung mit Anweisungen der Hacker. Die Nachricht wird in Form einer Textdatei namens „Decrypt-info.txt" an das kompromittierte Gerät übermittelt.

Übersicht der Lösegeldforderung

Laut der Notiz besteht die erste Aktion der Opfer von Temlo Ransomware darin, eine bestimmte Datei zu finden, die auf ihren Computern erstellt wurde. Anscheinend benötigen die Cyberkriminellen diese Datei, um die Möglichkeit zu haben, die Daten des Benutzers wiederherzustellen. Die Datei heißt 'prvkey*.txt.key' und sollte sich unter C:\ProgramData.\ befinden. Opfer werden jedoch aufgefordert, alle ihre Laufwerke zu überprüfen.

Die Datei muss an eine der angegebenen E-Mail-Adressen gesendet werden – „temloown@gmail.com" und „temloown@tuta.io". Daneben können Opfer auch mehrere kleine verschlüsselte Dateien senden, die angeblich kostenlos entsperrt werden. Das letzte wichtige Detail, das in der Notiz erwähnt wird, ist, dass das Lösegeld mit der Kryptowährung Bitcoin bezahlt werden muss.

Der vollständige Text der Lösegeldforderung lautet:

' Alle Ihre Dateien wurden verschlüsselt

Sie müssen bezahlen, um Ihre Dateien zurückzubekommen

Gehen Sie zu C:\ProgramData\ oder in Ihre anderen Laufwerke und senden Sie uns die Datei prvkey*.txt.key , * könnte eine Zahl sein (wie diese: prvkey3.txt.key)

Sie können einige Dateien mit weniger als 1 MB für den Entschlüsselungstest senden, um uns zu vertrauen. Die Testdatei sollte jedoch keine wertvollen Daten enthalten

Die Zahlung sollte mit Bitcoin erfolgen
Das Ändern von Windows ohne Speichern der Datei prvkey.txt.key führt zu dauerhaftem Datenverlust

Unsere E-Mail: temloown@gmail.com
falls keine Antwort: temloown@tuta.io .'