Ahui Ransomware sperrt Ihr System

Bei unserer Untersuchung von Malware-Beispielen stießen wir auf Ahui, eine Art Ransomware der Djvu-Familie. Ahui funktioniert, indem es Dateien verschlüsselt und eine neue Erweiterung („.ahui“) an ihre Dateinamen anhängt, wodurch der Zugriff verhindert wird. Darüber hinaus wird eine Lösegeldforderung namens „_readme.txt“ generiert, die als Kommunikationsmittel dient.

Zur Veranschaulichung ändert Ahui Dateinamen auf folgende Weise: „1.jpg“ wird zu „1.jpg.ahui“, „2.png“ wird zu „2.png.ahui“ und so weiter. Es ist erwähnenswert, dass Ransomware der Djvu-Familie häufig mit Malware zum Diebstahl von Informationen wie Vidar und RedLine koexistiert.

Der Lösegeldforderung zufolge wurden die Dateien des Opfers, darunter Bilder, Datenbanken, Dokumente und andere kritische Daten, mit einem leistungsstarken Verschlüsselungsalgorithmus und einem eindeutigen Schlüssel verschlüsselt. Die einzige Möglichkeit, diese Dateien wiederherzustellen, ist der Kauf eines Entschlüsselungstools und der Erwerb des entsprechenden eindeutigen Schlüssels. Angeblich kann diese Software alle verschlüsselten Dateien entschlüsseln.

Um Vertrauen zu schaffen, bieten die Ransomware-Betreiber eine Garantie an. Das Opfer wird aufgefordert, eine verschlüsselte Datei zu senden, die kostenlos entschlüsselt wird. Dieses Angebot gilt jedoch nur für eine einzelne Datei, die keine wertvollen Informationen enthält.

Die Kosten für den Erwerb des privaten Schlüssels und der Entschlüsselungssoftware werden mit 980 US-Dollar angegeben. Wenn das Opfer jedoch innerhalb der ersten 72 Stunden Kontakt mit den Betreibern aufnimmt, wird ein Rabatt von 50 % gewährt, wodurch der Preis auf 490 US-Dollar sinkt. In dem Vermerk wird betont, dass die Nichtzahlung der Zahlung die Wiederherstellung der Daten unmöglich macht.

Um an die Entschlüsselungssoftware zu gelangen, wird das Opfer angewiesen, die Angreifer per E-Mail unter support@freshmail.top zu kontaktieren. Im Falle von Komplikationen wird eine alternative E-Mail-Adresse, datarestorehelp@airmail.cc, als Backup-Kommunikationskanal bereitgestellt.

Die Lösegeldforderung von Ahui folgt den Standardpraktiken von Djvu

Der vollständige Text der Ahui-Lösegeldforderung lautet wie folgt:

AUFMERKSAMKEIT!

Machen Sie sich keine Sorgen, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien wie Bilder, Datenbanken, Dokumente und andere wichtige Dateien werden mit der stärksten Verschlüsselung und einem eindeutigen Schlüssel verschlüsselt.
Die einzige Möglichkeit, Dateien wiederherzustellen, besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software entschlüsselt alle Ihre verschlüsselten Dateien.
Welche Garantien haben Sie?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Wir können jedoch nur 1 Datei kostenlos entschlüsseln. Die Datei darf keine wertvollen Informationen enthalten.
Sie können das Video-Übersichts-Entschlüsselungstool herunterladen und ansehen:
hxxps://we.tl/t-sLaQRb9N6e
Der Preis für den privaten Schlüssel und die Entschlüsselungssoftware beträgt 980 $.
Wenn Sie uns in den ersten 72 Stunden kontaktieren, erhalten Sie einen Rabatt von 50 %. Der Preis für Sie beträgt 490 $.
Bitte beachten Sie, dass Sie Ihre Daten niemals ohne Bezahlung wiederherstellen können.
Überprüfen Sie Ihren E-Mail-Ordner „Spam“ oder „Junk“, wenn Sie nach mehr als 6 Stunden keine Antwort erhalten.

Um diese Software zu erhalten, müssen Sie an unsere E-Mail schreiben:
support@freshmail.top

E-Mail-Adresse reservieren, um mit uns Kontakt aufzunehmen:
datarestorehelp@airmail.cc

Ihre persönliche ID:

Wie kann Ransomware wie Ahui Ihr System infiltrieren?

Das Eindringen von Ransomware wie Ahui kann über verschiedene Methoden erfolgen. Hier sind einige häufige Arten, wie Ransomware ein System infizieren kann:

• E-Mail-Anhänge: Ransomware-Betreiber können bösartige Anhänge über Phishing-E-Mails verbreiten. Diese E-Mails erscheinen oft legitim und können Benutzer dazu verleiten, den Anhang zu öffnen, der die Ransomware-Payload enthält. Nach dem Öffnen wird die Ransomware ausgeführt und das System wird kompromittiert.
• Schädliche Links: Cyberkriminelle können Ransomware auch über betrügerische Links verbreiten. Diese Links können in E-Mails, Social-Media-Nachrichten oder sogar auf manipulierten Websites vorhanden sein. Wenn Benutzer auf solche Links klicken, werden sie zu Websites weitergeleitet, auf denen die Ransomware gehostet wird, und der Schadcode wird heruntergeladen und auf ihren Systemen ausgeführt.
• Exploit-Kits: Ransomware kann Schwachstellen in Software oder Betriebssystemen ausnutzen, um sich unbefugten Zugriff auf ein System zu verschaffen. Exploit-Kits sind Toolkits, mit denen Hacker diese Schwachstellen identifizieren und ausnutzen. Durch den Besuch manipulierter Websites oder das Klicken auf schädliche Anzeigen können Benutzer unwissentlich den Download und die Ausführung der Ransomware auslösen.
• Bösartige Downloads: Illegale oder raubkopierte Software, Spiele oder Mediendateien, die von nicht vertrauenswürdigen Quellen heruntergeladen werden können, können mit Ransomware gebündelt werden. Benutzer, die solche Dateien herunterladen und installieren, schleusen die Ransomware versehentlich in ihre Systeme ein.
• Drive-by-Downloads: Durch die Ausnutzung von Schwachstellen in Webbrowsern oder Plugins kann Ransomware unbemerkt heruntergeladen und installiert werden, wenn ein Benutzer eine kompromittierte oder bösartige Website besucht. Es ist keine Interaktion seitens des Benutzers erforderlich, was es zu einer heimlichen Infektionsmethode macht.

Es ist von entscheidender Bedeutung, strenge Sicherheitsmaßnahmen zu implementieren, wie z. B. die Verwendung aktueller Antivirensoftware, die regelmäßige Anwendung von Software-Patches und -Updates, das Einhalten sicherer Surfgewohnheiten, den vorsichtigen Umgang mit E-Mail-Anhängen und Links sowie die regelmäßige Sicherung wichtiger Daten, um das Risiko zu minimieren Ransomware-Infiltration.