$ucyLocker Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
Bedrohungsstufe: | 100 % (Hoch) |
Infizierte Computer: | 1,740 |
Zum ersten Mal gesehen: | June 9, 2017 |
Zuletzt gesehen: | November 2, 2023 |
Betroffene Betriebssysteme: | Windows |
Die Ransomware $ucyLocker ist ein Trojaner, der Dateien verschlüsseln und so entworfen ist, Daten auf beeinträchtigten Geräten zu beschädigen und den Benutzern eine Möglichkeit zur Wiederherstellung Ihrer Daten anzubieten. Der Trojaner $ucyLocker Ransomware wird von den Malware-Experten auch als die VapeHacksLoader Ransomware oder die Loader-Private Ransomware bezeichnet. Beispiele, die zur $ucyLocker Ransomware gehören, enthalten die Reihen 'VapeHacksLoader.exe' und 'Loader-Private' im Feld der Produktinformation auf dem Panel der Dateieigenschaften. Die $ucyLocker Ransomware wird auf den Computers durch Dokumente installiert, deren Makro aktiviert ist. Die letzten laden Benutzer ein, ein Makro-Script aus einer unzuverlässigen Quelle zu laufen. Die Dokumente mit aktiviertem Makro sind den Benutzern als Rechnungen, Mitteilungen von Facebook, Zahlungsbenachrichtigungen von PayPal und Auftragsbestätigungen von Amazon geliefert. Spam-Mails, die Logos von vertrauten Gesellschaften wie Facebook oder Online-Geschäften wie Amazon enthalten, sind die bevorzugte Methode zur Lieferung der $ucyLocker Ransomware an die Benutzer.
Inhaltsverzeichnis
Wie wird der Angriff von der $ucyLocker Ransomware ermöglicht
Eine ausführliche Analyse der $ucyLocker Ransomware hat offenbart, dass der Trojaner eine Variation der Open-Source-Ransomware HiddenTear ist, die im August 2015 veröffentlicht wurde. Die $ucyLocker Ransomware hat diegleichen Charakteristika wie die meisten Krypto-Bedrohungen, basiert auf HT wie die CryptoShadow Ransomware und die EduCrypt Ransomware. Die $ucyLocker Ransomware ist entworfen, um die Systemparameter wie der GUID des Computers (ID der Windows-Installation) zu lesen, den Kontonamen des Benutzers und das Tastatur-Layout zu aktivieren, die dem Command-and-Control-Server der Bedrohung berichtet werden. Die Bedrohung erstellt ein Paar von privaten Verschlüsselungs- und öffentlichen Entschlüsselungsschlüsseln, bevor der Entschlüsselungsprozess gestartet ist. Es gibt einige Prozeduren, die vorher abgeschlossen werden sollen. Die $ucyLocker Ransomware untersucht das infizierte Gerät für verbundene SSDs, HDDs und einen zugeordneten Netzwerkspeicher. Dann erstellt die $ucyLocker Ransomware eine Liste der anvisierten Dateien, die auf den Filter für die folgenden Erweiterungen basiert ist:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
Ein vermittelndes Panel wird den Benutzern gezeigt
Die Analyse der Computersicherheit berücksichtigt, dass die verschiedenen Versionen der $ucyLocker Ransomware (VapeHacksLoader Ransomware und Loader-Private Ransomware) nicht auf dieselbe Reichweite von Dateiformaten abzielen kann. Die verschlüsselten Objekte enthalten einen String, der '.WINDOWS' heißt. Der String ist als eine zweite Erweiterung geschrieben. Zum Beispiel '2017 Lexus SC.jpeg' wird in '2017 Lexus SC.jpeg.WINDOW' umbenannt. Die Programmierer, die die $ucyLocker Ransomware hergestellt haben, haben sich gemeldet, um nach einer Bezahlung von 0.16 Bitcoin (450 USD/403 EUR) zu fragen, damit sie ein Entschlüsselungsprogramm den infizierten Benutzern zu veröffentlichen. Ihre Mitteilung kann in der Datei 'READ_IT.txt' gefunden werden, die auf dem Desktop gespeichert ist und sagt:
'Ihre Dateien wurden verschlüsselt.
Lesen Sie das Programm für mehr Informationen
lesen Sie ein Programm für mehr Informationen.'
Mehr Informationen werden in einem kopflosen Programmfenster gezeigt, das als ein vermittelndes Panel zwischen das Opfer und die Ransomware-Bediener handelt. Das Fenster '$ucyLocker' enthält drei Folien, die eine kurze Erklärung darüber anbieten, was passiert ist und wie Sie Ihre Daten wiedeherstellen.
- Folie 1:
- Folie 2:
- Folie 3:
'Ihr Computer ist verschlüsselt. Bitte schließen Sie dieses Fenster nicht, da es sich in einem seriösen Computerschaden ergibt
Klicken Sie auf "Weiter" für mehr Informationen und die Bezahlung für die Wiederherstellung Ihrer Dateien.
$usyLocker
Weiter'
'Ihre Dateien sind verschlüsselt. Sie wurden verschlüsselt, da Sie etwas mit dieser Datei darin heruntergeladen haben. Das ist eine Ransomware. Sie verschlüsselt Ihre Dateien, bis Sie für die bezahlen. Bevor Sie danach fragen, Ja, wir geben Ihnen die Dateien zurück, wenn Sie bezahlen und unser Service die Bezahlung bestätigt.
Weiter'
'Ich habe bezahlt, jetzt geben Sie mir die Dateien zurück
Ich sende 0.16 Bitcoin an die nachstehende Adresse
[34 ZUFALLSZEICHEN]
bitcoin
AKZEPTIERT HIER'
Was sollen Sie tun, wenn es zu Schäden kommt
Die Experten der Cyber-Sicherheit fördern die Benutzer, ein Hilfsprogramm für Backup-Management zu installieren, um ihre Daten vor unaufgeforderten Änderungen und Vorfällen mit gefälschten Dateien als Ergebnis zu schützen. Es ist wichtig, den Inhalt zu entschlüsseln, der von der $ucyLocker Ransomware verändert wurde. Die Bezahlung des Lösegelds kann sich in Datenwiederherstellung nicht ergeben. Sie können aber auf die Offline Backups und Archive vertrauen, um Ihre Dateistruktur wiederherzustellen. Es ist empfohlen, ein Anti-Malware-Programm zu verwenden, um die $ucyLocker Ransomware und die dazugehörigen Dateien sicher zu entfernen. Die AV-Scanner können Warnungen zeigen, die mit der $ucyLocker Ransomware verbunden sind und die folgenden Tags verwenden:
- MSIL.Trojan-Ransom.Cryptear.R
- Ransomware-FTD!C850F942CCF6
- Ransom.HiddenTear!g1
- Gen:Heur.MSIL.Krypt.4
- Trojan-Ransom.HiddenTear
- Trojan ( 004cd5d01 )
- Trojan.Win32.Encoder.eppjt
- TrojWare.Win32.Ransom.Crypt.~
- Trojan/Win32.Ransom.C1992674