Worry Ransomware

Einer der neuen Dateien verschlüsselnden Trojaner, der Computerbenutzer in letzter Zeit plagt, ist die Worry Ransomware. Nachdem Sicherheitsforscher diese Ransomware-Bedrohung entdeckt hatten, analysierten sie sie und fanden heraus, dass die Worry Ransomware eine Variante der berüchtigten Phobos Ransomware ist. Die Worry Ransomware wird über infizierte Anhänge von Spam-E-Mails, gefälschte Software-Cracks oder ausgenutzte Schwachstellen in installierten Programmen und Betriebssystemen verbreitet.

Wenn die Worry Ransomware erfolgreich in einen PC eindringt, beginnt sie sofort, den Zielcomputer zu scannen. Das Ziel des Scans ist es, die Speicherorte aller Dateien herauszufinden, die die Bedrohung zur Verschlüsselung markieren möchte. Dann beginnt die Worry Ransomware mit der Verschlüsselung aller Zieldaten. Nach dem Verschlüsselungsprozess, der von der Worry Ransomware angewendet wird, werden die Namen der Dateien geändert. Diese Ransomware-Bedrohung fügt die Dateierweiterung „.worry“ am Ende des Dateinamens jeder gesperrten Datei hinzu.

Dann generiert und löscht die Worry Ransomware zwei Lösegeldforderungen in Form von „.hta“- und „.txt“-Dateien. Der Lösegeldschein gibt nicht die geforderte Lösegeldgebühr an, sondern verlangt, dass die Lösegeldgebühr in Bitcoin bezahlt wird. Sie enthält auch Anweisungen zum Kauf von Bitcoin, wenn das Opfer damit nicht vertraut ist. Bei der Kontaktaufnahme mit den Kriminellen über eine der beiden in der Lösegeldforderung enthaltenen E-Mail-Adressen können die Opfer fünf Dateien senden, die freigeschaltet oder kostenlos sind, solange die Gesamtgröße 10 MB nicht überschreitet und sie keine wichtigen Informationen enthalten (Excel-Tabellen, Datenbanken, Backups usw.).

Opfer von Ransomware sollten die Zahlung von Lösegeld nicht als Lösung in Betracht ziehen, da die Interaktion mit Kriminellen eine riskante Option ist, die für die Opfer schlecht enden kann. Stattdessen sollten sie ein seriöses Anti-Malware-Tool herunterladen und installieren, um die Worry Ransomware von ihren Systemen zu entfernen.

Die Lösegeldforderung namens info.hta lautet:

„Alle Ihre Dateien wurden verschlüsselt!
Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail-Adresse d0ntw0rry@cyberfear.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht –
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mail:rahmud1954@cock.email
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, das alle Ihre Dateien entschlüsselt.
Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)
So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Website. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
https://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins kaufen können, und einen Leitfaden für Anfänger:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.'

Die Lösegeldnachricht mit dem Namen info.txt lautet:

'!!!Alle Ihre Dateien sind verschlüsselt!!!
Um sie zu entschlüsseln, senden Sie eine E-Mail an diese Adresse: d0ntw0rry@cyberfear.com.
Wenn wir nicht innerhalb von 24 Stunden antworten, senden Sie eine E-Mail an diese Adresse: rahmud1954@cock.email'