Allahu Akbar Ransomware ist wahrscheinlich eine Testversion
Die als Allahu Akbar bekannte Ransomware-Variante wurde von unserem Forschungsteam bei einer Untersuchung neu eingereichter Malware-Proben identifiziert. Diese Schadsoftware funktioniert, indem sie Daten verschlüsselt und anschließend eine Zahlung als Gegenleistung für die Bereitstellung des Entschlüsselungsschlüssels verlangt.
In unserer Experimentierumgebung führte die Ransomware Allahu Akbar eine Verschlüsselung von Dateien durch und änderte deren Dateinamen. Insbesondere wurde den ursprünglichen Dateinamen die Erweiterung „.allahuakbar“ hinzugefügt. Beispielsweise wurde eine Datei mit dem Namen „1.jpg“ in „1.jpg.allahuakbar“ und „2.png“ in „2.png.allahuakbar“ usw. geändert.
Nach Abschluss des Verschlüsselungsvorgangs wurde ein Lösegeldschein mit dem Namen „how_to_decrypt.txt“ generiert. Der Inhalt dieser Notiz weist darauf hin, dass sich die Ransomware wahrscheinlich noch in der Entwicklung befindet. Der Hinweis informiert das Opfer über die Verschlüsselung seiner Dateien und versichert ihm, dass die Angreifer über die Mittel verfügen, die gesperrten Daten wiederherzustellen. Als Demonstration seiner Leistungsfähigkeit wird dem Opfer die Möglichkeit geboten, den Entschlüsselungsprozess an drei Dateien kostenlos zu testen.
Um mit der Entschlüsselung fortzufahren, wird das Opfer angewiesen, eine Lösegeldzahlung mit der Kryptowährung Bitcoin zu leisten. Der Hinweis enthält Hinweise zum Einleiten dieser Zahlung, die angegebenen Kontaktdaten sind jedoch ungültig. Dies deutet darauf hin, dass sich die Ransomware Allahu Akbar noch in der Entwicklung befindet.
Der Lösegeldschein von Allahu Akbar verwendet Platzhalter-Kontaktinformationen
Der vollständige Text der Lösegeldforderung von Allahu Akbar lautet wie folgt:
Alle Ihre Dateien wurden verschlüsselt.
Da Ihnen die Sicherheit egal ist, helfen wir, das Allahu Akbar Team, Ihnen bei der sicheren Aufbewahrung.
Sie können 3 Ihrer verschlüsselten Dateien senden und wir entschlüsseln sie kostenlos.
Sie müssen diese Schritte befolgen, um Ihre Dateien zu entschlüsseln:
1) Schreiben Sie an unsere E-Mail:test@test.com (Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, überprüfen Sie Ihren Spam-Ordner
oder schreiben Sie uns an diese E-Mail: test2@test.com)2) Bitcoin beziehen (Sie müssen die Entschlüsselung in Bitcoins bezahlen.
Nach der Zahlung senden wir Ihnen das Tool zu, das alle Ihre Dateien entschlüsselt.)
Wie wird Ransomware wie Allahu Akbar häufig online verbreitet?
Die Verbreitung von Ransomware, einschließlich Varianten wie „Allahu Akbar“, umfasst typischerweise verschiedene Taktiken und Techniken, die Schwachstellen, menschliches Verhalten und Sicherheitslücken ausnutzen. Ich möchte jedoch klarstellen, dass der Begriff „Allahu Akbar“ eine Phrase ist, die in islamischen Gebeten verwendet wird und nicht unbedingt einen direkten Zusammenhang mit der Verbreitung von Ransomware hat. Es ist wichtig, keine ungerechtfertigten Assoziationen zwischen Fachbegriffen und kulturellen oder religiösen Phrasen herzustellen.
Im Allgemeinen wird Ransomware häufig über die folgenden Methoden verbreitet:
- Phishing-E-Mails: Angreifer versenden häufig E-Mails, die legitim erscheinen und bösartige Anhänge oder Links enthalten. Diese E-Mails geben sich möglicherweise als bekannte Unternehmen, Banken oder Regierungsorganisationen aus und verleiten die Empfänger dazu, den Anhang zu öffnen oder auf den Link zu klicken. Sobald darauf geklickt wird, wird die Ransomware-Payload ausgeführt.
- Schädliche Links: Cyberkriminelle können über E-Mails, soziale Medien oder Messaging-Plattformen Links senden, die zu infizierten Websites oder Downloads führen. Diese Links geben sich möglicherweise als harmlose URLs aus, übertragen aber letztendlich die Ransomware auf das Gerät des Opfers.
- Malvertising: Schädliche Werbung kann in legitime Websites eingeschleust werden. Das Klicken auf diese Anzeigen kann zu Drive-by-Downloads führen, bei denen die Ransomware unbemerkt heruntergeladen und ohne deren Wissen auf dem System des Opfers ausgeführt wird.
- Exploit-Kits: Hierbei handelt es sich um bösartige Toolkits, die auf bekannte Schwachstellen in Softwareanwendungen abzielen. Wenn die Software eines Benutzers nicht auf dem neuesten Stand ist, kann der Besuch einer infizierten Website zum automatischen Herunterladen und Installieren von Ransomware führen.
- Remote Desktop Protocol (RDP)-Angriffe: Angreifer nutzen schwache oder kompromittierte RDP-Anmeldeinformationen aus, um sich unbefugten Zugriff auf das System eines Opfers zu verschaffen. Sobald sie drinnen sind, setzen sie Ransomware ein.
- Software-Bündelung: Manche Ransomware wird mit scheinbar legitimer Software oder Downloads gebündelt. Benutzer, die solche Software unwissentlich herunterladen und installieren, installieren auch die Ransomware.
- Drive-by-Downloads: Schon der Besuch einer kompromittierten Website kann durch Schwachstellen im Browser oder in den Plugins des Benutzers einen automatischen Download und die Ausführung von Ransomware auslösen.
- USB und Wechselmedien: Angreifer können USB-Laufwerke oder andere Wechselmedien mit Ransomware infizieren. Wenn das infizierte Medium an einen Computer angeschlossen wird, verbreitet sich die Ransomware.