Pres Ransomware: Eine gefährliche Bedrohung durch die Dharma-Familie

Pres Ransomware verstehen

Die Ransomware Pres ist eine bedrohliche Ergänzung der Dharma-Familie . Wie ihre Vorgänger verschlüsselt Pres die Dateien der Opfer und verlangt ein Lösegeld für deren Wiederherstellung. Besonders identifizierbar ist diese Variante durch die Art und Weise, wie verschlüsselte Dateien umbenannt werden. An jeden Dateinamen werden die eindeutige ID des Opfers, eine Kontakt-E-Mail-Adresse und die Erweiterung „.pres“ angehängt. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „document.pdf“ nach der Verschlüsselung als „document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres“ angezeigt.

Neben der Verschlüsselung der Dateien zeigt Pres eine Lösegeldforderung an und platziert eine Textdatei namens „info.txt“ in den infizierten Verzeichnissen. Die Nachricht informiert die Opfer über die Verschlüsselung ihrer Dateien und enthält Anweisungen zur Kontaktaufnahme mit den Angreifern per E-Mail. Opfer müssen ihre eindeutige ID an eine der beiden E-Mail-Adressen senden: helpreserve@onionmail.org oder helpreserve@cyberfear.com.

Was die Angreifer wollen

Die Lösegeldforderung gibt sich hilfreich und sogar beruhigend. Sie behauptet, die Dateien des Opfers könnten wiederhergestellt werden, und bietet als Beweis die kostenlose Entschlüsselung von bis zu drei kleinen, nicht sensiblen Dateien an. Diese Beispieldateien dürfen jedoch insgesamt nicht größer als 3 MB sein und dürfen keine Backups, Datenbanken oder große Tabellen enthalten. Die Nachricht warnt außerdem davor, dass das Umbenennen von Dateien oder die Verwendung von Wiederherstellungstools von Drittanbietern irreversible Schäden verursachen kann.

In einer klassischen psychologischen Manipulationstaktik raten die Angreifer von der Einbeziehung Dritter ab, da dies die Lösegeldforderung erhöhen könnte. Dies soll das Opfer isolieren und sein Vertrauen in die Versprechen der Angreifer stärken – trotz des hohen Risikos, nach der Zahlung kein Entschlüsselungstool zu erhalten.

Folgendes wird in der Lösegeldforderung behauptet:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Funktionsweise von Pres und anderen Ransomware-Programmen

Ransomware wie Pres ist darauf ausgelegt, die Daten von Benutzern durch Verschlüsselung mit starken Algorithmen zu missbrauchen. Nach der Verschlüsselung sind die Dateien unbrauchbar, es sei denn, sie werden mit einem einzigartigen Schlüssel entschlüsselt, den nur die Angreifer besitzen. Opfer stehen in der Regel vor einer schwierigen Entscheidung: Sie zahlen das Lösegeld und hoffen, dass die Angreifer ihr Wort halten, oder versuchen, die Daten auf andere Weise wiederherzustellen.

Pres-Ransomware beschränkt sich nicht nur auf die Verschlüsselung von Dateien. Sie löscht auch Volumeschattenkopien (die von Windows für Backups verwendet werden), deaktiviert die Firewall, um eine Erkennung zu verhindern, und versucht, sich zu behaupten, indem sie sich an einen versteckten Ort im System kopiert und die Windows-Registrierung verändert. Diese Taktiken sollen sicherstellen, dass die Ransomware auch nach einem Systemneustart ausgeführt werden kann und sich Entfernungsversuchen widersetzt.

Die Risiken der Lösegeldzahlung

Die Zahlung des Lösegelds mag zwar der schnellste Weg zur Wiederherstellung sein, ist aber ein Glücksspiel ohne garantierte Belohnung. Angreifer könnten das Geld nehmen und verschwinden oder einen fehlerhaften oder unvollständigen Entschlüsselungsschlüssel bereitstellen. Darüber hinaus fördert die Zahlung nur weitere Cyberkriminalität und macht Ransomware für Angreifer profitabler und attraktiver.

In den meisten Fällen ist eine Wiederherstellung ohne Backups oder offizielle Entschlüsselungstools äußerst schwierig. Leider können auch Backups auf verbundenen oder infizierten Geräten kompromittiert sein. Daher sind effektive Backup-Praktiken – wie das Speichern von Kopien auf externen Festplatten oder sicheren Cloud-Diensten – unerlässlich.

Wie sich Pres Ransomware verbreitet

Infektionen mit Pres-Ransomware sind häufig die Folge einer schwachen Sicherheit des Remote Desktop Protocol (RDP) . Cyberkriminelle nutzen schlecht geschützte RDP-Dienste häufig mit Brute-Force- oder Wörterbuchangriffen aus, um sich unbefugten Zugriff zu verschaffen. Nach dem Eindringen installieren sie die Ransomware manuell.

Weitere Infektionsmethoden sind Phishing-E-Mails mit schädlichen Anhängen oder Links, Drive-by-Downloads von unseriösen Websites, Raubkopien mit Malware und irreführende Werbung. Nutzer können auch über P2P-Netzwerke oder gefälschte Software-Update-Aufforderungen auf Ransomware stoßen. Die Malware ist meist als legitimes Programm oder Dokument getarnt und verleitet Nutzer zur Aktivierung der Infektion.

So bleiben Sie geschützt

Die Abwehr von Ransomware wie Pres beginnt mit einem klugen Online-Verhalten und soliden Cybersicherheitsmaßnahmen. Vermeiden Sie den Download von Software von inoffiziellen Websites, meiden Sie Raubkopien oder Schlüsselgeneratoren und aktivieren Sie niemals Makros in unbekannten Office-Dokumenten. Seien Sie besonders vorsichtig bei E-Mail-Anhängen oder Links aus unbekannten Quellen, auch wenn diese dringend oder wichtig erscheinen.

Aktualisieren Sie Ihr Betriebssystem und Ihre Software regelmäßig, um bekannte Schwachstellen zu beheben. Verwenden Sie zuverlässige Antivirenprogramme mit Echtzeitschutz. Sichern Sie wichtige Daten regelmäßig und bewahren Sie diese an einem sicheren, nicht vernetzten Ort auf.

Abschließende Gedanken

Pres-Ransomware ist ein weiteres Beispiel dafür, wie ausgefeilt und zerstörerisch moderne Ransomware-Bedrohungen mittlerweile sind. Sie kombiniert technische Tarnung mit sozialer Manipulation, um Opfer zur Zahlung von Lösegeld zu drängen, das möglicherweise nicht einmal zur Wiederherstellung der Dateien führt. Indem sie wachsam bleiben, bewährte Cybersicherheitspraktiken befolgen und sichere Backups erstellen, können Benutzer und Unternehmen ihre Risiken im Umgang mit diesen digitalen Erpressungssystemen erheblich reduzieren.

Bis Willa
May 5, 2025
Ransomware
Deutsch
May 5, 2025
Ransomware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 18 days

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Die Bedrohung durch W32.AIDetectMalware verstehen und eindämmen

vor 10 months

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months

Warum Benutzer überrascht sind, wenn sie die Almoristics-App...

vor 2 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.