KiRa Ransomware nimmt Ihre Dateien als Geisel

KiRa ist der Name einer heimtückischen Ransomware, die unser Team kürzlich bei einer Analyse von Malware-Beispielen aufgedeckt hat.

Diese Schadsoftware funktioniert, indem sie vertrauliche Daten verschlüsselt, eine clevere Taktik anwendet, indem sie eine vierstellige zufällige Erweiterung an die Dateinamen anhängt und das Desktop-Hintergrundbild ändert. Um ihre Absichten deutlich zu machen, hinterlegen die Cyberkriminellen hinter KiRa einen überzeugenden Lösegeldschein („read it!!.txt“) im betroffenen System.

Der Dateiumbenennungsansatz von KiRa ist einfach: Die Ransomware fügt vier zufällige Zeichen als neue Erweiterung hinzu: Eine Datei mit dem ursprünglichen Namen „1.jpg“ würde in „1.jpg.szem“ umgewandelt, während „2.png“ in „2“ umgewandelt wird. png.mo3y“ und so weiter.

Die in der Lösegeldforderung dargelegten Lösegeldforderungen sind einfach: Der Hacker hinter der KirA-Ransomware verlangt 2.000 US-Dollar und gibt spezifische Kontaktdaten an, nämlich die E-Mail-Adresse „b_@mail2tor.com“ und ein Instagram-Konto „@DD00“. Sie erwarten Kommunikation für Zahlungsvereinbarungen.

In der Lösegeldforderung von KiRa werden 2.000 US-Dollar gefordert

Der vollständige Text der KiRa-Lösegeldforderung lautet wie folgt:

Ich komme aus einem internationalen Kreis. Du kannst mich anrufen: KiRa

Ich bin ein Undercover-Hacker

Mein Name ist: GreatKiRa

Ich werde Ihren Computer als Sicherheit für das Inkasso verwenden

Ich will nur: 2000 $ LoL

Zahlungsadresse: b_@mail2tor.com

Kontaktdaten: b_@mail2tor.com

IG: @DD00

Hehh ... ich glaube, du steckst in großen Schwierigkeiten $:
sO Kontaktieren Sie mich nach der Zahlung und ich werde es für Sie freischalten
Wenn Sie nicht zahlen, werden Ihr Computer und Ihre Dateien automatisch zerstört.

Wie kann Ransomware wie KiRa in Ihr System gelangen?

Ransomware wie KiRa kann auf verschiedene Weise in ein System eindringen und dabei häufig Schwachstellen und menschliches Verhalten ausnutzen. Hier sind einige häufige Wege, auf denen Ransomware in Ihr System gelangen kann:

• Phishing-E-Mails: Eine der am weitesten verbreiteten Methoden sind Phishing-E-Mails. Cyberkriminelle versenden betrügerische E-Mails, die legitim erscheinen und bösartige Anhänge oder Links enthalten. Wenn Benutzer diese Anhänge öffnen oder auf die Links klicken, wird die Ransomware heruntergeladen und auf ihrem System aktiviert.
• Schädliche Websites: Auch der Besuch kompromittierter oder bösartiger Websites kann Benutzer der Gefahr von Ransomware aussetzen. Auf diesen Websites können Exploit-Kits gehostet werden, die Sicherheitslücken in Browsern oder Plugins ausnutzen, um die Ransomware-Payload zu verbreiten.
• Ausnutzung von Software-Schwachstellen: Ransomware-Ersteller suchen nach Schwachstellen in Betriebssystemen, Software oder Anwendungen. Sobald sie eine Schwachstelle identifizieren, nutzen sie diese, um sich unbefugten Zugriff auf das System zu verschaffen und die Ransomware einzusetzen.
• Malvertising: Bei böswilliger Werbung oder Malvertising platzieren Cyberkriminelle schädliche Anzeigen auf legitimen Websites. Wenn Benutzer auf diese Anzeigen klicken, werden sie zu Websites weitergeleitet, auf denen Ransomware gehostet wird.
• Infizierte Software-Installer: Einige Angreifer tarnen Ransomware in scheinbar harmlosen Software-Installern oder Updates. Wenn Benutzer diese infizierten Dateien herunterladen und ausführen, wird die Ransomware eingesetzt.