Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Theft Ransomware

Theft Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:

Die moderne Bedrohungslandschaft ist gnadenlos. Cyberkriminelle entwickeln ihre Tools ständig weiter, um unvorbereitete Nutzer auszunutzen. Zu den schädlichsten dieser Bedrohungen zählt Ransomware – Schadsoftware, die Daten verschlüsselt und von Opfern Geld erpresst. Eine dieser neuen Varianten ist die sogenannte Theft Ransomware, die bereits verheerende Schäden auf ahnungslosen Systemen anrichtet.

Was Diebstahl-Ransomware gefährlich macht

Theft Ransomware ist eine neue Variante der berüchtigten Dharma-Ransomware-Familie, die dafür bekannt ist, sowohl Einzelpersonen als auch Unternehmen anzugreifen. Nach dem Eindringen in ein Gerät verschlüsselt die Malware Dateien und benennt sie um, indem sie Folgendes anhängt:

  • Eine eindeutige Opfer-ID
  • Die E-Mail-Adresse der Angreifer
  • Die Erweiterung „.theft“

Beispielsweise wird aus „1.png“ „1.png.id-9ECFA84E.[datatheft@tuta.io].theft.“

Die Opfer werden dann mit Lösegeldforderungen in Form von Textdateien („info.txt“) und einem Popup-Fenster konfrontiert. Während die Textnachricht knapp gehalten ist und nur Kontaktdaten enthält, bietet das Popup weitere Details, darunter die Zusicherung, dass die Daten gegen Zahlung des Lösegelds wiederhergestellt werden können. Die Angreifer bieten sogar einen „Entschlüsselungsnachweis“, indem sie die kostenlose Wiederherstellung dreier kleiner, unkritischer Dateien erlauben.

Um den Druck zu erhöhen, behaupten die Kriminellen, vertrauliche Geschäftsdaten gestohlen zu haben und drohen, diese preiszugeben, wenn die Zahlung verweigert wird.

Technische Merkmale der Bedrohung

Wie andere Dharma-basierte Varianten sperrt Theft Ransomware nicht ganze Systeme, sondern verschlüsselt stattdessen lokale und im Netzwerk freigegebene Dateien. Die Malware führt folgende Aktionen aus:

  • Beendet Prozesse, die an verwendete Dateien gebunden sind (Datenbanken, Leser usw.)
  • Kopiert sich selbst in den Pfad %LOCALAPPDATA% und registriert Persistenz über Run-Schlüssel
  • Stellt sich selbst auf Autostart bei Systemneustarts ein
  • Löscht Volumeschattenkopien, um eine einfache Wiederherstellung zu verhindern

Die Malware sammelt außerdem Geolokalisierungsdaten, um zu bestimmen, ob mit der Verschlüsselung fortgefahren werden soll, wobei möglicherweise bestimmte Regionen ausgeschlossen werden.

Wie sich die Infektion ausbreitet

Theft Ransomware nutzt verschiedene Infiltrationstaktiken, wobei die häufigste die Nutzung schwach gesicherter RDP-Dienste (Remote Desktop Protocol) ist. Brute-Force- und Wörterbuchangriffe auf schlecht geschützte Konten sind häufige Einstiegspunkte. Einmal im System, kann die Malware sogar Firewalls deaktivieren, um ihre Arbeit zu erleichtern.

Weitere bekannte Vertriebskanäle sind:

Phishing und Social Engineering – Bösartige Anhänge oder Links in E-Mails, DMs und Posts.

Trojaner und Hintertüren – werden verwendet, um die Ransomware unbemerkt zu verbreiten.

Malvertising und Drive-by-Downloads – Ausgelöst einfach durch den Besuch einer kompromittierten Website.

Verdächtige Softwarequellen – Raubkopien von Tools, Freeware-Pakete und gefälschte Updates.

Wechselmedien und lokale Netzwerke – Ermöglichen die interne Verbreitung der Malware, sobald sie auf einem System landet.

Warum die Zahlung des Lösegelds ein riskantes Unterfangen ist

Das Entschlüsseln von mit Theft verschlüsselten Dateien ohne den Schlüssel des Angreifers ist nahezu unmöglich. Während einige Ransomware-Varianten fehlerhaft sind, sind Dharma-basierte Bedrohungen in der Regel solide konstruiert. Wichtig ist, dass die Zahlung des Lösegelds keine Garantie für eine Wiederherstellung bietet. Viele Opfer gehen selbst nach der Überweisung leer aus. Schlimmer noch: Die Zahlung finanziert nur weitere kriminelle Aktivitäten.

Stärkung Ihrer Abwehrmaßnahmen gegen Ransomware

Der beste Weg, Theft Ransomware zu bekämpfen, ist Prävention. Da die Entfernung der Malware verschlüsselte Dateien nicht automatisch wiederherstellt, müssen Benutzer auf Resilienz und proaktive Abwehrmaßnahmen achten. Wichtige Maßnahmen, die jeder Benutzer ergreifen sollte, sind:

  • Regelmäßige Backups – Bewahren Sie Kopien wichtiger Dateien an mehreren sicheren Orten auf, z. B. auf Offline-Laufwerken und Cloud-Diensten, die nicht dem infizierten System zugeordnet sind.
  • Aktualisieren Sie Software und Systeme – Wenden Sie Patches an, um Schwachstellen zu schließen, die von Ransomware ausgenutzt werden.
  • Verwenden Sie eine starke Authentifizierung – Sichern Sie RDP-Dienste mit eindeutigen, komplexen Passwörtern und aktivieren Sie die Multifaktor-Authentifizierung.
  • Seien Sie vorsichtig mit E-Mails und Links – Öffnen Sie keine unerwarteten Anhänge und klicken Sie nicht auf unbekannte Links, auch wenn diese legitim erscheinen.
  • Administratorrechte einschränken – Beschränken Sie die Berechtigungen, um die Auswirkungen einer möglichen Ausführung von Malware zu verringern.
  • Installieren Sie seriöse Sicherheitstools – Setzen Sie Anti-Malware-Lösungen mit Ransomware-Schutzfunktionen ein.
  • Deaktivieren Sie Makros und Skripte – Viele Ransomware-Angriffe werden durch Office-Dokumente oder Skripte ausgelöst.
  • Segmentnetzwerke – Verhindern Sie die laterale Verbreitung von Malware in Unternehmensumgebungen.

Abschließende Gedanken

Theft Ransomware unterstreicht die kontinuierliche Weiterentwicklung der Dharma-Familie und ihre anhaltende Rolle in globalen Ransomware-Kampagnen. Die Kombination aus Verschlüsselung, Datendiebstahl und Erpressung macht sie besonders schädlich. Da die Wiederherstellung von Dateien ohne saubere Backups oft unmöglich ist, besteht die einzige wirkliche Verteidigung in mehrschichtiger Prävention, strenger Cyberhygiene und zuverlässigen Wiederherstellungsstrategien.

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...