Datah Ransomware ist ein Makop-Klon

Bei der Analyse neuer Malware-Beispiele stießen wir auf eine Ransomware-Variante der Makop-Familie, bekannt als Datah. Diese Ransomware verschlüsselt Dateien und generiert eine Lösegeldforderung namens „+README-WARNING+.txt“, die Kontaktdaten und Anweisungen enthält. Darüber hinaus ändert Datah Dateinamen.

Datah ändert Dateinamen, indem es die ID des Opfers, die E-Mail-Adresse datahelper@onionmail.org und die Erweiterung „.datah“ hinzufügt. Beispielsweise ändert es „1.jpg“ in „1.jpg.[2AF20FA3].[datahelper@onionmail.org].datah“, und „2.png“ in „2.png.[2AF20FA3].[datahelper@onionmail.org].datah“ und so weiter.

Der Erpresserbrief informiert das Opfer über die Verschlüsselung seiner Dateien, versichert aber, dass die Dateistruktur unverändert bleibt. Er betont, dass eine Wiederherstellung nur durch Zahlung des Lösegelds an die für die Verschlüsselung verantwortlichen Bedrohungsakteure möglich ist. Die Cyberkriminellen demonstrieren ihre Entschlüsselungsfähigkeit, indem sie dem Opfer erlauben, testweise zwei kleine Dateien zu entschlüsseln.

Kontaktdetails werden über eine E-Mail-Adresse (datahelper@onionmail.org) und eine TOX-ID bereitgestellt. Die Nachricht endet mit einer dringenden Warnung vor dem Versuch, die verschlüsselten Dateien eigenständig zu ändern. Jede Änderung kann zu Datenverlust und dem dauerhaften Verlust des privaten Entschlüsselungsschlüssels führen, sodass die Daten des Opfers nicht mehr wiederherstellbar sind.

Datah legt ausführlichen Erpresserbrief vor

Der vollständige Text des langen Lösegeldbriefs, den Datah erstellt hat, lautet wie folgt:

Greetings

Little FAQ:

1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

4.
Q: How to contact with you?
A: You can write us to our mailbox: datahelper@onionmail.org
Or you can contact us via TOX: B99CB0C13B44E2A1AEBAEB28E70371D6E3DB35DA801721930B53B0E787433270665DA610BAB0
You can download TOX: hxxps://qtox.github.io/

5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

BEWARE
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Was sind die besten Möglichkeiten, Ihre Daten vor Ransomware-Angriffen zu schützen?

Der Schutz Ihrer Daten vor Ransomware-Angriffen ist für die Sicherheit Ihrer persönlichen und geschäftlichen Informationen von entscheidender Bedeutung. Hier sind einige bewährte Methoden, um das Risiko von Ransomware zu verringern:

Regelmäßige Backups: Führen Sie regelmäßig Backups Ihrer wichtigen Daten auf Offline- oder Cloud-basierten Speichern durch. So stellen Sie sicher, dass Sie Ihre Dateien auch dann aus dem Backup wiederherstellen können, wenn sie durch Ransomware verschlüsselt wurden, ohne das Lösegeld zahlen zu müssen.

Software aktualisieren: Halten Sie Ihr Betriebssystem, Ihre Antivirensoftware und alle Anwendungen mit den neuesten Sicherheitspatches und Updates auf dem neuesten Stand. Schwachstellen in veralteter Software können von Ransomware-Angreifern ausgenutzt werden.

Mitarbeiter schulen: Bieten Sie Ihren Mitarbeitern umfassende Schulungen zum Thema Cybersicherheit an, damit sie Phishing-E-Mails, bösartige Links und andere potenzielle Angriffsmethoden für Ransomware erkennen können. Fördern Sie eine Kultur der Skepsis gegenüber unerwünschten E-Mails und Anhängen.

Verwenden Sie Antivirus- und Antimalware-Software: Installieren Sie auf allen Geräten bewährte Antivirus- und Antimalware-Software und stellen Sie sicher, dass sie regelmäßig aktualisiert wird. Diese Tools können helfen, Ransomware-Infektionen zu erkennen und zu verhindern.

Implementieren Sie Netzwerksicherheitsmaßnahmen: Nutzen Sie Firewalls, Angriffserkennungssysteme und andere Netzwerksicherheitsmaßnahmen, um Ihr Netzwerk zu überwachen und vor unbefugtem Zugriff und böswilligen Aktivitäten zu schützen.

Benutzerberechtigungen einschränken: Beschränken Sie Benutzerberechtigungen auf diejenigen, die für ihre Aufgaben erforderlich sind. Dies kann dazu beitragen, die seitliche Verbreitung von Ransomware in Ihrem Netzwerk zu verhindern, falls das System eines Benutzers kompromittiert wird.

E-Mail-Filterung aktivieren: Implementieren Sie E-Mail-Filterlösungen, um Phishing-E-Mails und bösartige Anhänge zu blockieren, bevor sie die Posteingänge der Benutzer erreichen. Dadurch kann die Wahrscheinlichkeit einer Ransomware-Infektion per E-Mail erheblich verringert werden.

Deaktivieren Sie das Remote Desktop Protocol (RDP): Wenn es für den Geschäftsbetrieb nicht erforderlich ist, sollten Sie RDP deaktivieren oder zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung implementieren, um unbefugten Zugriff über RDP zu verhindern.