Po Ransomware erweitert die Dharma-Familie

Eine neu entdeckte Ransomware namens Po ist der neueste Stamm, der sich der bereits großen Familie von Ransomware-Klonen anschließt, die auf der Dharma-Ransomware basieren.

Po funktioniert wie erwartet für eine Ransomware-Variante und verschlüsselt Dateien auf dem System des Opfers. Verschlüsselte Dateien erhalten eine mehrteilige Erweiterung, die die ID-Zeichenfolge des Opfers, die vom Ransomware-Betreiber verwendete E-Mail-Adresse und die Erweiterung „.po“ enthält. Dadurch wird eine Datei mit dem früheren Namen „document.txt“ in „document.txt.id string.[recovery2022@tutanota.com].Po“ umgewandelt, sobald sie verschlüsselt wurde.

Zu den betroffenen Dateien gehören die meisten Dokument-, Archiv-, Medien- und Datenbankdateitypen.

Sobald die Verschlüsselung abgeschlossen ist, legt die Ransomware eine Klartextversion ihrer Lösegeldforderung in einer Datei namens „info.txt“ ab und zeigt auch ein Popup-Fenster mit ihren Lösegeldforderungen an.

Die vollständige Lösegeldforderung lautet wie folgt:

IHRE DATEIEN SIND VERSCHLÜSSELT

1024

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!

Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: recovery2022 at tutanota dot com YOUR ID -

Wenn Sie nicht innerhalb von 12 Stunden per Mail geantwortet haben, schreiben Sie uns eine andere Mail: mr.helper at gmx dot com

AUFMERKSAMKEIT!

Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden

Benennen Sie verschlüsselte Dateien nicht um.

Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.

Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.