TOR-Ransomware

Es scheint, dass die Dharma Ransomware-Familie ihre Position als eine der ersten Wahlen unter Cyberkriminellen verstärkt, wenn es um die Entwicklung neuer Ransomware-Bedrohungen geht. Eine der neuesten auf Dharma basierenden Varianten ist die TOR Ransomware. Die Bedrohung zielt darauf ab, sich auf die Computer der Benutzer einzuschleichen und dann einen Verschlüsselungsprozess einzuleiten, der die meisten dort gespeicherten Daten sperrt. Die Folgen könnten verheerend sein, da die betroffenen Benutzer den Zugriff auf fast alle persönlichen oder geschäftlichen Dateien verlieren.

Die TOR-Ransomware folgt dem etablierten Namensmuster, das in den meisten Dharma-Varianten beobachtet wird. Jede verschlüsselte Datei hat eine Zeichenfolge, die die dem Opfer zugewiesene eindeutige ID darstellt, die an ihren ursprünglichen Namen angehängt wird. Als nächstes fügt die Bedrohung eine E-Mail unter der Kontrolle ihrer Betreiber hinzu, bevor sie schließlich '.TOR' als neue Dateierweiterung klatscht. Die Opfer erhalten zwei Lösegeldforderungen - die Hauptnachricht wird in einem Popup-Fenster angezeigt, während eine zweite Nachricht in einer Textdatei namens "FILES ENCRYPTED.txt" enthalten ist.

Details zu den Lösegeldnachrichten

Das von der TOR Ransomware generierte Popup-Fenster besagt, dass Opfer ihre Dateien wiederherstellen können, jedoch nur, wenn sie die Anforderungen der Hacker erfüllen. Keine der wichtigen Details, wie die Höhe des Lösegelds, wird in der Notiz erwähnt. Für weitere Details werden Benutzer an zwei E-Mail-Adressen verwiesen - todecrypt@disroot.org oder todecrypt@onionmail.org. Der Rest des Popup-Fensters wird von einem Abschnitt mit mehreren Warnungen eingenommen. Die Textdatei enthält dagegen nur ein paar kurze Sätze, die bekräftigen, dass die Opfer über die beiden E-Mails der Hacker Kontakt aufnehmen sollen.

Der vollständige Text der Nachricht im Popup-Fenster lautet:

' DEINE DATEIEN SIND VERSCHLÜSSELT

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail an decrypt@disroot.org IHRE ID -
Wenn Sie innerhalb von 12 Stunden nicht über den Link geantwortet haben, schreiben Sie uns per E-Mail:todecrypt@onionmail.org

Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.

Die Textdatei enthält folgende Anweisungen:

alle deine daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an todecrypt@disroot.org oder todecrypt@onionmail.org .'