ReadText Ransomware verschlüsselt Ihre Laufwerke
Unser Forschungsteam ist bei der Prüfung neuer Einsendungen auf die ReadText-Ransomware gestoßen. Diese Schadsoftware gehört zur MedusaLocker-Ransomware-Familie.
ReadText funktioniert auf eine für Ransomware typische Weise. Es verschlüsselte die Dateien auf unserem Testcomputer und fügte den ursprünglichen Dateinamen die Erweiterung „.readtext4“ hinzu. Die konkrete Zahl, die bei der Generierung der Feinerweiterung verwendet wird, kann je nach Variante der Ransomware variieren. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.readtext4“ und „2.png“ in „2.png.readtext4“ usw. umgewandelt.
Anschließend wurde eine Lösegeldnachricht mit dem Namen „How_to_back_files.html“ hinterlegt. Aus dieser Nachricht geht hervor, dass ReadText es auf Unternehmen abgesehen hat und doppelte Erpressungstaktiken anwendet.
In der mit der ReadText-Ransomware verbundenen Notiz heißt es, dass das Unternehmensnetzwerk des Opfers kompromittiert wurde. Kritische Dateien wurden verschlüsselt und sensible oder persönliche Daten wurden gestohlen.
In der Nachricht wird davon abgeraten, die Dateinamen der verschlüsselten Dateien zu ändern oder eine Wiederherstellung mithilfe von Entschlüsselungstools von Drittanbietern zu versuchen, da solche Aktionen die Daten unwiederbringlich machen würden.
Das Opfer wird über die Notwendigkeit einer Lösegeldzahlung informiert. Bei Nichtbeachtung werden die exfiltrierten Daten entweder durchsickern oder verkauft. Darüber hinaus erhöht sich die Lösegeldsumme, wenn die Kontaktaufnahme um mehr als 72 Stunden verzögert wird. Vor der Zahlung hat das Opfer die Möglichkeit, den Entschlüsselungsprozess zu testen, indem es den Angreifern zwei bis drei verschlüsselte Dateien sendet.
ReadText-Lösegeldschein droht Datenlecks
Der vollständige Text der ReadText-Lösegeldforderung lautet wie folgt:
IHRE PERSÖNLICHE ID:
Das Netzwerk Ihres Unternehmens wurde unterwandert
Alle Ihre wichtigen Dateien wurden verschlüsselt!Ihre Dateien sind sicher! Nur geändert. (RSA+AES)
JEGLICHER VERSUCH, IHRE DATEIEN MIT SOFTWARE VON DRITTANBIETERN WIEDERHERZUSTELLEN
WIRD ES DAUERHAFT BESCHÄDIGEN.
ÄNDERN SIE VERSCHLÜSSELTE DATEIEN NICHT.
VERSCHLÜSSELTE DATEIEN NICHT UMBENENNEN.Keine im Internet verfügbare Software kann Ihnen helfen. Wir sind die einzigen, die dazu in der Lage sind
Lösen Sie Ihr Problem.Wir haben streng vertrauliche/persönliche Daten erhoben. Diese Daten werden aktuell auf gespeichert
ein privater Server. Dieser Server wird sofort nach Ihrer Zahlung zerstört.
Wenn Sie sich entscheiden, nicht zu zahlen, geben wir Ihre Daten an die Öffentlichkeit oder einen Weiterverkäufer weiter.
Sie können also davon ausgehen, dass Ihre Daten in naher Zukunft öffentlich verfügbar sein werden.Wir streben nur nach Geld und unser Ziel ist es nicht, Ihren Ruf zu schädigen oder zu verhindern
Ihr Unternehmen vom Laufen.Sie können uns 2-3 unwichtige Dateien senden und wir entschlüsseln sie kostenlos
um zu beweisen, dass wir Ihre Dateien zurückgeben können.Kontaktieren Sie uns für den Preis und erhalten Sie eine Entschlüsselungssoftware.
Email:
ithelp15@securitymy.name
ithelp15@yousheltered.comUm mit uns Kontakt aufzunehmen, erstellen Sie ein neues kostenloses E-Mail-Konto auf der Website: protonmail.com
WENN SIE UNS NICHT INNERHALB VON 72 STUNDEN KONTAKTIEREN, IST DER PREIS HÖHER.Tor-Chat, um immer in Kontakt zu bleiben:
Wie wird Ransomware online verbreitet?
Ransomware wird online über verschiedene Methoden verbreitet, wobei häufig Schwachstellen in der Software, Social-Engineering-Techniken und bösartige Anhänge oder Links ausgenutzt werden. Hier sind einige gängige Methoden zur Verbreitung von Ransomware:
Phishing-E-Mails:
Phishing-E-Mails sind eine weit verbreitete Methode zur Verbreitung von Ransomware. Angreifer versenden betrügerische E-Mails, die scheinbar von legitimen Quellen wie Banken, Regierungsbehörden oder vertrauenswürdigen Organisationen stammen. Diese E-Mails enthalten bösartige Anhänge oder Links, die beim Klicken oder Öffnen Ransomware herunterladen und auf dem Computer des Opfers ausführen.
Malvertising:
Beim Malvertising platzieren Cyberkriminelle bösartige Werbung auf seriösen Websites. Wenn ein Benutzer auf diese Anzeigen klickt, löst er möglicherweise unwissentlich den Download von Ransomware aus oder wird auf eine Website weitergeleitet, auf der Exploit-Kits gehostet werden, die dann die Ransomware-Nutzlast bereitstellen.
Drive-By-Downloads:
Drive-by-Downloads treten auf, wenn ein Benutzer eine manipulierte oder bösartige Website besucht. In einigen Fällen nutzt die Website Schwachstellen im Webbrowser oder in Plugins des Benutzers aus, um ohne Benutzerinteraktion automatisch Ransomware herunterzuladen und auf dem System des Besuchers zu installieren.
Exploit-Kits:
Exploit-Kits sind Toolkits, mit denen Angreifer Schwachstellen in der Software eines Opfers identifizieren und ausnutzen. Wenn ein Benutzer eine kompromittierte Website besucht oder auf einen schädlichen Link klickt, sucht das Exploit-Kit nach Schwachstellen und liefert die Ransomware-Payload, wenn eine Schwachstelle gefunden wird.
RDP-Angriffe (Remote Desktop Protocol):
Angreifer zielen auf offengelegte RDP-Ports ab und versuchen, sich unbefugten Zugriff auf den Computer oder das Netzwerk eines Opfers zu verschaffen. Sobald sie drinnen sind, verteilen sie Ransomware direkt auf dem System.
Schädliche Anhänge:
Ransomware kann über E-Mail-Anhänge verbreitet werden, oft getarnt als harmlose Dateien wie PDFs, Word-Dokumente oder ZIP-Archive. Wenn diese Anhänge geöffnet werden, führen sie bösartige Skripte oder Makros aus, die den Ransomware-Download einleiten.
