Gyew Ransomware basiert auf Djvu-Code
Unsere Untersuchung kürzlich entdeckter Malware-Beispiele hat die Gyew-Ransomware-Variante entdeckt. Darüber hinaus wurde festgestellt, dass Gyew mit der Djvu-Malware-Familie in Verbindung steht. Diese spezielle Ransomware-Variante verschlüsselt Dateien, fügt ihren Namen die Erweiterung „.gyew“ hinzu und hinterlässt eine Lösegeldforderung mit dem Namen „_readme.txt“ im betroffenen System.
Beispielsweise ändert Gyew Dateinamen, indem es „1.jpg“ in „1.jpg.gyew“, „2.png“ in „2.png.gyew“ usw. umwandelt. In der Lösegeldforderung heißt es, dass zahlreiche Dateien, darunter Bilder, Datenbanken und wichtige Dokumente, verschlüsselt wurden. Um den Zugriff auf diese Dateien wiederherzustellen, werden Opfer angewiesen, ein Entschlüsselungstool und einen eindeutigen Schlüssel zu erhalten. Der Hinweis bietet Sicherheit, indem er Opfern erlaubt, eine verschlüsselte Datei zur kostenlosen Entschlüsselung einzureichen, sofern die Datei keine wertvollen Informationen enthält.
Die Kosten für den Erhalt des privaten Schlüssels und der Entschlüsselungssoftware belaufen sich auf 980 US-Dollar. Es besteht jedoch die Möglichkeit, einen Rabatt von 50 % in Anspruch zu nehmen, wenn sich Opfer innerhalb der ersten 72 Stunden an die Angreifer wenden, wodurch die Kosten effektiv auf 490 US-Dollar gesenkt werden. Opfer können über die bereitgestellten E-Mail-Adressen mit den Cyberkriminellen kommunizieren: support@freshmail.top und datarestorehelp@airmail.cc.
Gyew-Lösegeldschein verlangt Zahlung in Höhe von 490 US-Dollar
Der vollständige Text der Lösegeldforderung von Gyew lautet wie folgt:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-CDZ4hMgp2X
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelp@airmail.ccYour personal ID:
Wie wird Ransomware normalerweise online verbreitet?
Ransomware wird in der Regel online über verschiedene Methoden verbreitet, und Angreifer nutzen häufig mehrere Techniken, um die Erfolgswahrscheinlichkeit zu erhöhen. Hier sind gängige Methoden zur Verbreitung von Ransomware:
Phishing-E-Mails:
Eine der häufigsten Methoden sind Phishing-E-Mails. Angreifer versenden E-Mails mit schädlichen Anhängen oder Links, die beim Anklicken die Ransomware herunterladen und auf dem System des Opfers ausführen.
Schädliche E-Mail-Anhänge:
Ransomware kann in E-Mail-Anhängen wie ausführbaren Dateien, PDFs oder Office-Dokumenten versteckt sein. Sobald der Anhang geöffnet wird, wird die Ransomware freigesetzt.
Infizierte Websites:
Der Besuch kompromittierter oder bösartiger Websites kann zum automatischen Herunterladen und Installieren von Ransomware führen. Dies geschieht häufig durch Exploit-Kits, die Schwachstellen im Browser oder in Plugins des Benutzers ausnutzen.
Malvertising:
Schädliche Werbung oder Malvertisements auf legitimen Websites können Benutzer auf Websites umleiten, die Ransomware hosten. Das Klicken auf diese Anzeigen kann den Download und die Installation der Ransomware auslösen.
Drive-By-Downloads:
Ransomware kann durch Drive-by-Downloads übertragen werden, bei denen Malware ohne Wissen oder Zustimmung des Benutzers automatisch heruntergeladen und auf dem Gerät installiert wird, wenn dieser eine kompromittierte Website besucht.
