Quax0r Ransomware

Quax0r Ransomware ist eine neue Variante von Malware zur Dateiverschlüsselung, die zur Ransomware-Familie Rozbeh gehört.

Ein Teil des Verhaltens der Quax0r-Ransomware ist das gleiche wie bei anderen Familien und Varianten – sie verschlüsselt gängige Dateitypen und macht sie unbrauchbar. Von der Verschlüsselung sind häufig verwendete Dateitypen betroffen, darunter Medien-, Archiv- und Dokumentdateien.

Was Quax0r im Vergleich zu fast jeder anderen Ransomware-Variante anders macht, ist der Umgang mit verschlüsselten Dateien. Fast jeder Ransomware-Stamm ändert die Erweiterungen und Namen von Dateien, wobei normalerweise Opfer-ID-Strings und neue Erweiterungen an die Dateien angehängt werden. Bei Quax0r passiert nichts davon – die Ransomware lässt die verschlüsselte Datei genauso aussehen wie zuvor – ohne Änderung des Dateinamens oder der Erweiterung.

Quax0r legt seine Lösegeldforderung auch nicht in einer Textdatei ab, sondern verwendet stattdessen das Eingabeaufforderungsfenster. Der vollständige Text der Nachricht lautet wie folgt:

Alle Dateien wurden von NominatusCrypto (Quax0r) verschlüsselt. Kontaktieren Sie den Ersteller dieses Virus auf Discord Nominatus#9251 für weitere Informationen, wenn Sie neu starten, wird Ihr Konto nutzlos! Dateien können nicht entschlüsselt werden, ohne das Lösegeld an den Ersteller zu zahlen!! lebe oder sterbe? treffen Sie jetzt Ihre Wahl!

Da in der Lösegeldforderung keine Summe aufgeführt ist und ein Skriptkiddie ein Discord-Konto für seine kriminellen Aktivitäten verwendet, ist es nicht ratsam, mit dem Autor des Quax0r zu verhandeln, und Offline-Backups bleiben die beste Option zum Wiederherstellen von Dateien.