Kmrox Ransomware ist ein Mitglied der Phobos-Familie

ransomware

Bei der Untersuchung neuer Dateiprobeneinsendungen stießen unsere Forscher auf eine weitere Variante der Phobos-Ransomware namens Kmrox. Diese Art von Malware fällt in die Kategorie der Ransomware, die darauf abzielt, Daten zu verschlüsseln und für deren Entschlüsselung eine Zahlung zu verlangen.

Auf unserem Testsystem hat Kmrox Dateien codiert und ihre Namen geändert. Die ursprünglichen Dateinamen wurden um eine eindeutige, mit dem Opfer verknüpfte Identifizierung, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.kmrox“ erweitert. Beispielsweise erschien eine Datei, die ursprünglich als „1.jpg“ gekennzeichnet war, als „1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox“ usw. Anschließend wurden Lösegeldforderungen über ein Popup-Fenster („info.hta“) und eine Textdatei („info.txt“) generiert.

In den Lösegeldforderungen von Kmrox heißt es, dass die Dateien aufgrund der Verschlüsselung nicht zugänglich seien. Aus den Notizen geht hervor, dass die einzige Möglichkeit, die Dateien wiederherzustellen, darin besteht, den Entschlüsselungsschlüssel und die Software von den Cyberkriminellen zu kaufen. Die Zahlung erfolgt in Form der Kryptowährung Bitcoin, der genaue Betrag wird in diesen Nachrichten jedoch nicht genannt – es wird lediglich angedeutet, dass die Zahlung möglicherweise davon abhängt, wie schnell der Kontakt hergestellt wird.

Das Opfer erhält außerdem die Möglichkeit eines kostenlosen Entschlüsselungstests (im Rahmen bestimmter Parameter). Die Notizen schließen mit Warnungen davor, die verschlüsselten Daten zu verändern und die Hilfe Dritter in Anspruch zu nehmen.

Kmrox verwendet eine lange Lösegeldforderung

Der vollständige Text der Kmrox-Lösegeldforderung lautet wie folgt:

Alle Ihre Dateien wurden verschlüsselt!

Im Moment gibt es keine Möglichkeit, die Daten zu entschlüsseln, außer von uns einen Entschlüsseler und einen Schlüssel anzufordern, mit dem Sie alle Ihre Daten wiederherstellen können.
Wenn Sie sie wiederherstellen möchten, schreiben Sie uns per E-Mail: exezez@blaze420.it
Schreiben Sie diese ID in den Titel Ihrer Nachricht –
Für schnelles und bequemes Feedback schreiben Sie im Telegram-Messenger an den Online-Betreiber: @exezaz
(Seien Sie vorsichtig bei der Eingabe des Telegram-Kontonamens, er muss genau derselbe sein wie oben, Vorsicht vor gefälschten Konten.)
Außerdem kann es sein, dass Ihr Brief bei einigen E-Mail-Diensten nicht im Spam landet oder dort landet. Um die Wahrscheinlichkeit einer schnellen Antwort zu erhöhen, sollten Sie Ihre Briefe auch an unsere Ersatz-E-Mail-Adressen duplizieren: helze@cyberfear.com und exezaz@msgden.com
Die Bezahlung der Entschlüsselung erfolgt in Bitcoins. Um den Preis zu erfahren, schreiben Sie an die oben genannten Kontakte. Je früher Sie uns kontaktieren, desto niedriger wird der Preis sein. Nach der Zahlung senden wir Ihnen ein Tool, das alle Ihre Dateien entschlüsselt.

Kostenlose Entschlüsselung als Garantie
Vor der Zahlung können Sie uns bis zu 3 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien dürfen keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)

So erhalten Sie Bitcoins
Sie können Bitcoin an jedem für Sie geeigneten Ort kaufen. Einen Leitfaden für Anfänger finden Sie hier:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aufmerksamkeit!
Um garantierte Hilfe bei der Entschlüsselung Ihrer Dateien zu erhalten, wenden Sie sich bitte nur an die in diesem Hinweis aufgeführten Kontakte, da es derzeit viele Betrüger gibt, die
Fordern Sie unter dem Vorwand, dass sie Ihre Daten entschlüsseln können, eine kostenlose Entschlüsselung über uns an und geben Sie dies als Demonstration aus, dass sie Ihre Dateien entschlüsseln können.
Denken Sie daran, dass der Schlüssel zum Entschlüsseln von Dateien in jedem Einzelfall individuell ist, sodass Sie Ihre Dateien nicht selbst mit Software von Drittanbietern entschlüsseln können, sondern Ihre Dateien dadurch nur beschädigt werden.
Wenn Sie über einen Vermittler kommunizieren möchten, erkundigen Sie sich vorab bei unserem Betreiber nach dem Preis, da Vermittler oft den tatsächlichen Preis ermitteln. !!! Bei der Kontaktaufnahme mit Dritten
Wir übernehmen keine Garantie für die Entschlüsselung Ihrer Dateien!!!
Um Probleme bei der Entschlüsselung zu vermeiden, sollten Sie Ihre Dateien außerdem nicht umbenennen.

Was ist die Phobos Ransomware-Klonfamilie?

Die Phobos-Ransomware-Familie besteht aus einer Gruppe von Ransomware-Varianten, die ähnliche Merkmale und Funktionsweisen aufweisen. Diese Varianten werden oft als „Klone“ bezeichnet, da angenommen wird, dass sie vom gleichen ursprünglichen Quellcode abgeleitet sind oder ein gemeinsames Framework haben. Die Phobos-Ransomware-Familie ist dafür bekannt, die Dateien der Opfer zu verschlüsseln und ein Lösegeld für deren Entschlüsselung zu verlangen.

Die Phobos-Ransomware-Varianten weisen typischerweise die folgenden Merkmale auf:

  • Dateiverschlüsselung: Wie die meisten Ransomware-Programme verschlüsseln Phobos-Varianten die Dateien der Opfer mit starken Verschlüsselungsalgorithmen, sodass auf die Dateien ohne einen Entschlüsselungsschlüssel nicht zugegriffen werden kann.
  • Lösegeldscheine: Phobos Ransomware erstellt Lösegeldscheine, die Opfer über die Verschlüsselung informieren und Anweisungen zur Zahlung des Lösegelds enthalten, um den Entschlüsselungsschlüssel zu erhalten.
  • E-Mail-Kontakte: Die Lösegeldforderungen enthalten in der Regel E-Mail-Adressen, über die Opfer die Angreifer kontaktieren können, um weitere Anweisungen zur Zahlung und Entschlüsselung zu erhalten.
  • Einzigartige Erweiterungen: Phobos-Varianten hängen häufig einzigartige Erweiterungen an verschlüsselte Dateien an, um sie leicht identifizierbar zu machen. Diese Erweiterungen sind normalerweise eine Kombination aus zufälligen Zeichen oder Bezeichnern.
  • Bitcoin-Zahlungen: Lösegeldforderungen werden in der Regel in Kryptowährungen, insbesondere Bitcoin, verlangt, da diese pseudonymisiert sind und daher schwerer zurückzuverfolgen sind.
  • Variabilität bei den Lösegeldbeträgen: Verschiedene Varianten der Phobos-Ransomware können unterschiedliche Lösegeldbeträge haben, oft abhängig von Faktoren wie dem Profil des Opfers und der Geschwindigkeit, mit der es Kontakt zu den Angreifern aufnimmt.
  • Gezielte Verbreitung: Phobos-Ransomware wird häufig über Phishing-E-Mails, bösartige Anhänge, Exploit-Kits und andere Methoden verbreitet, die Cyberkriminelle zur Verbreitung von Malware verwenden.
  • Ähnliche Codebasis: Phobos-Varianten weisen Ähnlichkeiten in Code und Verhalten auf, was auf eine gemeinsame Quelle oder ein gemeinsames Framework schließen lässt, das Angreifer geändert haben, um unterschiedliche Versionen zu erstellen.

Es ist wichtig zu beachten, dass Phobos-Varianten zwar Ähnlichkeiten aufweisen, sich aber im Laufe der Zeit mit neuen Funktionen, Taktiken und Techniken weiterentwickeln können. Wie bei jeder Ransomware besteht die beste Verteidigung gegen Phobos und seine Varianten in einer Kombination aus strengen Cybersicherheitspraktiken, regelmäßigen Datensicherungen, der Aktualisierung der Software und einem vorsichtigen Umgang mit E-Mail-Anhängen und Links.

Bis Zaib
August 29, 2023
Ransomware
Deutsch
August 29, 2023
Ransomware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.