VASA LOCKER Ransomware
Die VASA LOCKER Ransomware ist eine Malware-Bedrohung, die Unternehmen durch das Sperren ihrer Computer lähmen kann. Während das Hauptziel der Hacker für die Bedrohung in der Tat größere Organisationen zu sein scheinen, können einzelne Benutzer auch infiziert werden und den Zugriff auf fast alle ihre persönlichen oder arbeitsbezogenen Dateien verlieren. VASA LOCKER scheint praktisch identisch mit einer anderen Malware-Bedrohung namens Babuk Locker Ransomware zu sein. Beide sind weitaus ausgefeilter als die durchschnittliche Ransomware.
Der Verschlüsselungsprozess der VASA LOCKER Ransomware nutzt eine Kombination aus verschiedenen Chiffren und kryptografischen Algorithmen. Insbesondere werden SHA256-Hashing, ChaCha8-Verschlüsselung und ECDH-Schlüsselaustausch verwendet, um die Entschlüsselungsschlüssel zu sichern. Jeder gesperrten Datei wird '.__ NIST_K571__' als neue Erweiterung zu ihrem ursprünglichen Namen hinzugefügt. Die VASA LOCKER Ransomware kann den aktiven Prozess bestimmter Anwendungen beenden, um den Verschlüsselungsprozess zu vereinfachen und Zugriff auf Dateien zu erhalten, die derzeit auf dem gefährdeten System geöffnet sind. Dazu gehören Firefox.exe, SQL.exe, Excel.exe, Notepad.exe, Outlook.exe, Dbsnmp.exe, Ocssd.exe und Isqlplussvc.exe. Die Bedrohung löscht auch die vom Windows-Dienst erstellten Standard-Sadow-Volume-Kopien vor und nach der Verschlüsselung. Die Lösegeldforderung der Bedrohung wird als Textdatei mit dem Namen "DECR.TXT" geliefert, die in jedem Ordner mit verschlüsselten Daten abgelegt wird.
Gemäß den Anweisungen filtern die Hacker auch sensible private Informationen aus den kompromittierten Systemen heraus. Sie drohen, die Daten an die Öffentlichkeit weiterzugeben, wenn die Opfer zu lange brauchen, um die Anforderungen zu erfüllen. Um die Kommunikation herzustellen, werden Benutzer, die von VASA LOCKER betroffen sind, aufgefordert, eine E-Mail an die angegebene E-Mail-Adresse "babukrip@protonmail.ch" zu senden. Die Nachricht muss die ID-Zeichenfolge enthalten, die in der Lösegeldnotiz enthalten ist, und kann auch eine einzelne Datei enthalten, die kostenlos entschlüsselt wird.
Der vollständige Text der Lösegeldnotiz, die von der VASA LOCKER Ransomware gelöscht wurde, lautet:
'----------- [ Hallo! ] ------------->
****** VON VASA LOCKER ******
Was ist passiert?
----------------------------------------------
Ihre Computer und Server werden verschlüsselt, Backups werden aus Ihrem Netzwerk gelöscht und kopiert. Wir verwenden starke Verschlüsselungsalgorithmen, sodass Sie Ihre Daten nicht entschlüsseln können.
Sie können jedoch alles wiederherstellen, indem Sie bei uns ein spezielles Programm erwerben - einen Universaldecoder. Dieses Programm stellt Ihr gesamtes Netzwerk wieder her.
Befolgen Sie unsere Anweisungen unten und Sie werden alle Ihre Daten wiederherstellen.
Wenn Sie dies lange Zeit ignorieren, werden wir den Hack an die Mainstream-Medien melden und Ihre Daten im dunklen Internet veröffentlichen.
Was garantiert?
----------------------------------------------
Wir schätzen unseren Ruf. Wenn wir unsere Arbeit und Verbindlichkeiten nicht tun, wird uns niemand bezahlen. Dies ist nicht in unserem Interesse.
Alle unsere Entschlüsselungssoftware ist perfekt getestet und entschlüsselt Ihre Daten. Bei Problemen unterstützen wir Sie auch.
Wir garantieren, eine Datei kostenlos zu entschlüsseln. Gehen Sie auf die Website und kontaktieren Sie uns.
Wie man uns kontaktiert?
----------------------------------------------
Verwenden von E-MAIL:
1) Öffnen Sie Ihre Mail
2) Schreiben Sie uns: babukrip@protonmail.ch
IHR PERSÖNLICHER AUSweis, BEFESTIGEN SIE ES:
!!! ACHTUNG !!!
Ändern oder versuchen Sie nicht, Dateien selbst wiederherzustellen. Wir werden sie NICHT WIEDERHERSTELLEN können.
!!! ACHTUNG !'
