ThunderCrypt Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
Bedrohungsstufe: | 80 % (Hoch) |
Infizierte Computer: | 592 |
Zum ersten Mal gesehen: | May 11, 2017 |
Zuletzt gesehen: | April 21, 2022 |
Betroffene Betriebssysteme: | Windows |
Die ThunderCrypt Ransomware ist ein Ransomware-Trojaner, mit dem Computer infiziert werden, um Computerbenutzer zu erpressen. Die ThunderCrypt Ransomware wurde erstmals im Mai 2017 beobachtet und scheint eher eine eigenständige Infektion als Teil einer größeren Familie zu sein. PC-Sicherheitsforscher vermuten, dass die ThunderCrypt Ransomware mithilfe beschädigter Spam-E-Mail-Anhänge bereitgestellt wird, die Schwachstellen in Makros missbrauchen, um einen beschädigten Code auf dem Computer des Opfers auszuführen. Es wurde auch beobachtet, dass die ThunderCrypt Ransomware als falsches Update für Adobe Flash Player ausgeliefert wird, eine gängige Taktik, die im Laufe der Jahre in zahlreichen Bedrohungsvarianten beobachtet wurde.
Wie die ThunderCrypt Ransomware ihren Angriff ausführt
Wenn das Opfer dem Downloader der ThunderCrypt Ransomware ausgesetzt ist, zeigt die Benutzerkontensteuerung die folgende Meldung an:
'Benutzerkontensteuerung
Möchten Sie diese App von einem zulassen
Unbekannter Herausgeber, an dem Änderungen vorgenommen werden sollen
Ihr Gerät?
install_flash_player_ax.exe
Herausgeber unbekannt
Dateiherkunft: Festplatte auf diesem Computer '
Wenn Sie auf OK klicken, wird ein Fenster mit dem Namen "Adobe Flash Player 25.0 Installer" angezeigt, ein Fortschrittsbalken und alles. Nach einigen Augenblicken wird die folgende Fehlermeldung angezeigt:
'Adobe Flash Player 25.0 Installer
Bei der Installation sind Fehler aufgetreten:
Ihr Microsoft Internet Explorer-Browser enthält den neuesten Adobe Flash Player
Das integrierte Windows Update informiert Sie, wenn der Flash Player neu ist
stehen zur Verfügung'
Die ThunderCrypt Ransomware arbeitet im Hintergrund weiter und verschlüsselt die Dateien des Opfers. Die ThunderCrypt Ransomware zielt auf die vom Benutzer generierten Dateien ab, einschließlich Bildern, Textdateien, Videos und Dateien, die von Programmen wie AutoCAD, Microsoft Office, Libre Office, Adobe Photoshop usw. erstellt wurden. Die ThunderCrypt Ransomware kann mehrere Stunden dauern verschlüsseln Sie die gesamten Dateien des Opfers und arbeiten Sie im Hintergrund, ohne das Opfer über den Angriff zu informieren. Die ThunderCrypt Ransomware markiert die bei dem Angriff gefährdeten Dateien mit der Dateierweiterung ".thundercrypt".
Wie die ThunderCrypt Ransomware verwendet werden kann, um auf Kosten des Opfers Gewinn zu erzielen
Die ThunderCrypt Ransomware verwendet eine Kombination aus AES- und RSA-Verschlüsselung, um die Wiederherstellung der verschlüsselten Dateien ohne den Entschlüsselungsschlüssel unmöglich zu machen. Die ThunderCrypt Ransomware verlangt die Zahlung von 0,345 BitCoin (ca. 650 USD zum aktuellen Wechselkurs), um den Entschlüsselungsschlüssel zu erhalten. Die ThunderCrypt Ransomware nimmt die Dateien des Opfers als Geiseln, bis das Lösegeld bezahlt ist. Die ThunderCrypt Ransomware zeigt ihre Lösegeldforderungen in einem Lösegeldschein mit folgendem Text an:
'Guten Tag!
Wir haben alle Ihre persönlichen Dateien verschlüsselt! Um die Liste der verschlüsselten Dateien zu sehen!
Wir haben dies mit hybrider RSA-2048-Verschlüsselung mit öffentlichem Schlüssel durchgeführt. Grundsätzlich bedeutet dies, dass es keine Möglichkeit gibt, Ihre Dateien ohne den privaten Schlüssel zu entschlüsseln. Der private Schlüssel wird auf unserem Server gespeichert.
In der Tat können wir Ihre Dateien wiederherstellen. Sie müssen uns nur vor Ablauf der Frist bezahlen (siehe Countdown). Wenn Sie dies nicht tun, wird der private Schlüssel sicher von unserem Server gelöscht und Sie verlieren verschlüsselte Dateien für immer.
Überweisen Sie den erforderlichen Betrag (siehe links) an die unten angegebene Bitcoin-Adresse, die nur für Ihre Zahlung generiert wurde. Wenn Sie nicht wissen, wie Sie Bitcoin verwenden oder wo Sie Bitcoins kaufen können, klicken Sie hier. Sobald die Transaktion bestätigt wurde, startet die Entschlüsselung automatisch. Normalerweise dauert es ungefähr 30 Minuten, bis die Transaktion bestätigt wird. Sie werden über jeden Fortschritt informiert.
[ZUFÄLLIGE ZEICHEN]
WARNUNG. Antivirensoftware entfernt dieses Programm möglicherweise, kann Ihre Dateien jedoch nicht entschlüsseln. Deaktivieren Sie daher Ihr Antivirenprogramm vorübergehend, da wir Ihre Dateien nicht entschlüsseln können, wenn dieses Programm beschädigt ist. Ändern Sie auch keine der verschlüsselten Dateien, da wir sie sonst nicht wiederherstellen können.
Wenn Sie Fragen haben oder Probleme mit der Zahlung haben, können Sie sich gerne an uns wenden.
Außerdem können wir eine Datei bis zu 3 MiB kostenlos entschlüsseln, um zu beweisen, dass eine Entschlüsselung möglich ist. '
PC-Sicherheitsforscher raten Computerbenutzern, das ThunderCrypt Ransomware-Lösegeld nicht zu zahlen. Auf diese Weise können Betrüger diese Bedrohungen weiterhin erstellen. Darüber hinaus gibt es kaum eine Garantie dafür, dass diese Personen ihr Versprechen halten und dem Opfer helfen, die betroffenen Dateien wiederherzustellen.