Reload Ransomware basiert auf Makop

Bei unserer Analyse der Reload-Malware haben wir festgestellt, dass sie zur Makop-Familie gehört und als Ransomware fungiert, die hauptsächlich für die Dateiverschlüsselung konzipiert ist. Neben der Verschlüsselung der Daten erstellt Reload auch einen Lösegeldschein mit dem Namen „+README-WARNING+.txt“ und ändert Dateinamen.

Reload fügt den ursprünglichen Dateinamen eine Folge zufälliger Zeichen hinzu, vermutlich die ID des Opfers, eine E-Mail-Adresse und die Erweiterung „.reload“. Beispielsweise wird „1.jpg“ in „1.jpg.[2AF20FA3].[reload2024@outlook.com].reload“ und „2.png“ in „2.png.[2AF20FA3].[reload2024@“ umgewandelt. outlook.com].reload“ usw.

Der Lösegeldschein beginnt mit einer klaren Erklärung, dass alle Dateien verschlüsselt wurden und nun die Erweiterung „.reload“ tragen. Dies unterstreicht die Dringlichkeit, die Angreifer zeitnah zu kontaktieren, um zu verhindern, dass die verschlüsselten Dateien im Internet veröffentlicht werden. Zu Kommunikationszwecken wird im Hinweis die E-Mail-Adresse reload2024@outlook.com angegeben.

Darüber hinaus droht in dem Hinweis ein dauerhafter Dateiverlust, wenn Opfer es versäumen, sich direkt an die Angreifer zu wenden, um die Datei wiederherzustellen, und rät ausdrücklich von der Nutzung von Zwischenunternehmen oder internetbasierten Programmen für Wiederherstellungsbemühungen ab.

Laden Sie die Lösegeldforderung vollständig neu

Der vollständige Text der von Reload generierten Lösegeldforderung lautet wie folgt:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Wie wird Ransomware wie Reload online verbreitet?

Reload wird, wie viele Ransomware-Varianten, typischerweise online über verschiedene Methoden verbreitet, die darauf abzielen, Schwachstellen auszunutzen oder Benutzer dazu zu verleiten, schädliche Inhalte herunterzuladen und auszuführen. Hier sind gängige Verbreitungsmethoden für Ransomware wie Reload:

Phishing-E-Mails: Cyberkriminelle nutzen Phishing-E-Mails häufig, um Ransomware zu verbreiten. Diese E-Mails können legitim erscheinen und schädliche Anhänge oder Links enthalten. Im Fall von Reload könnten Benutzer dazu verleitet werden, einen Anhang zu öffnen, beispielsweise ein scheinbar harmloses Dokument oder eine Datei, was dann den Malware-Installationsprozess auslöst.

Schädliche Websites: Der Besuch kompromittierter oder bösartiger Websites kann zum unbeabsichtigten Herunterladen und Installieren von Ransomware führen. Cyberkriminelle können Schwachstellen in Browsern oder Plugins ausnutzen, um die bösartige Nutzlast zu verbreiten.

Exploit-Kits: Cyber-Angreifer können Exploit-Kits verwenden, um bekannte Schwachstellen in Software, Betriebssystemen oder Browsern auszunutzen. Wenn ein Benutzer eine kompromittierte Website besucht, sucht das Exploit-Kit nach Schwachstellen und liefert die Ransomware-Payload, wenn eine geeignete Schwachstelle gefunden wird.

Drive-By-Downloads: Das unabsichtliche Herunterladen bösartiger Inhalte beim Besuch von Websites, oft über Pop-ups oder automatische Downloads, kann zur Installation von Ransomware führen. Benutzer sind sich dieser Downloads möglicherweise nicht bewusst, was es für die Malware einfacher macht, in das System einzudringen.

Schädliche Werbung (Malvertising): Cyberkriminelle nutzen möglicherweise Online-Werbung, um Ransomware zu verbreiten. Durch Klicken auf eine infizierte Anzeige können Benutzer zu einer Website weitergeleitet werden, auf der die Malware gehostet wird, oder ein automatischer Download ausgelöst werden.

Kompromittierte Software: Angreifer können legitime Software-Installationsprogramme oder -Updates kompromittieren und Ransomware einschleusen, bevor Benutzer die scheinbar authentische Software herunterladen und installieren.