Vehu Ransomware sperrt infizierte Systeme

Bei unserer Analyse neuer Malware-Beispiele haben wir die Ransomware Vehu entdeckt. Unsere Untersuchung ergab, dass Vehu zur Familie der Djvu-Ransomware gehört. Vehu verschlüsselt Dateien und hängt die Erweiterung „.vehu“ an Dateinamen an. Außerdem wird eine Lösegeldforderung mit dem Namen „_README.txt“ angezeigt. Es ist wichtig zu beachten, dass die Djvu-Ransomware häufig zusammen mit RedLine, Vidar oder ähnlicher Schadsoftware verbreitet wird.

Beispielsweise ändert Vehu Dateinamen, indem es ihnen „.vehu“ hinzufügt, „1.jpg“ in „1.jpg.vehu“ und „2.png“ in „2.png.vehu“ umbenennt und so weiter.

In der Lösegeldforderung wird behauptet, dass alle Dateien, einschließlich Bilder, Datenbanken und Dokumente, mit starker Verschlüsselung verschlüsselt sind. Um wieder Zugriff auf die Dateien zu erhalten, muss das Opfer ein Entschlüsselungstool und einen Schlüssel kaufen. Das Entschlüsselungstool kostet 999 US-Dollar, aber wenn das Opfer die Angreifer innerhalb von 72 Stunden kontaktiert, kann es für 499 US-Dollar gekauft werden.

Die Anweisungen weisen das Opfer an, entweder eine E-Mail an support@freshingmail.top oder datarestorehelpyou@airmail.cc zu senden. Es wird gewarnt, dass die Dateien ohne Bezahlung nicht wiederhergestellt werden können. Darüber hinaus wird in der Notiz erwähnt, dass das Opfer den Angreifern eine verschlüsselte Datei senden und diese zur Demonstration entschlüsselt erhalten kann, sofern die Datei keine wertvollen Informationen enthält.

Vehu verwendet standardisierten Djvu-Lösegeldbrief

Der vollständige Text des Lösegeldbriefs von Vehu lautet wie folgt:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Wie kann Ransomware Ihr System infizieren?

Ransomware kann Ihr System auf verschiedene Weise infizieren. Häufig werden Schwachstellen ausgenutzt oder Social-Engineering-Taktiken eingesetzt. Hier sind einige gängige Methoden, mit denen Ransomware Ihr System infiltrieren kann:

Phishing-E-Mails: Eine der am weitesten verbreiteten Methoden sind Phishing-E-Mails. Angreifer senden betrügerische E-Mails, die legitim erscheinen, oft mit Anhängen oder Links. Wenn Sie auf diese Links klicken oder Anhänge herunterladen, kann Ransomware auf Ihr System heruntergeladen und ausgeführt werden.

Bösartige Links: Cyberkriminelle können Ransomware auch über bösartige Links auf Websites, Social-Media-Plattformen oder Instant-Messaging-Apps verbreiten. Das Klicken auf diese Links kann zum Herunterladen und Installieren von Ransomware führen.

Exploit-Kits: Ransomware kann Schwachstellen in Software oder Betriebssystemen mithilfe von Exploit-Kits ausnutzen. Diese Kits sind automatisierte Tools, mit denen Angreifer Schwachstellen in Software identifizieren und ausnutzen, um Malware, einschließlich Ransomware, zu verbreiten.

Remote Desktop Protocol (RDP)-Angriffe: Angreifer versuchen möglicherweise, sich mit schwachen oder standardmäßigen Remote Desktop Protocol (RDP)-Anmeldeinformationen unbefugten Zugriff auf Systeme zu verschaffen. Sobald sie sich im System befinden, können sie Ransomware direkt auf dem infizierten System installieren.

Drive-by-Downloads: Ransomware kann unbemerkt heruntergeladen und installiert werden, wenn Sie kompromittierte oder bösartige Websites besuchen. Bei dieser Methode werden häufig Schwachstellen in Ihrem Webbrowser oder in Plugins ausgenutzt.

Malvertising: Angreifer verwenden bösartige Werbung (Malvertising) auf legitimen Websites, um Ransomware zu verbreiten. Das Anklicken dieser Anzeigen oder manchmal sogar das bloße Anzeigen dieser Anzeigen kann den Download und die Ausführung von Ransomware auslösen.

Software-Schwachstellen: Die Ausnutzung ungepatchter oder veralteter Software-Schwachstellen ist eine weitere Möglichkeit, mit der Ransomware in Systeme eindringen kann. Wenn Sie keine Sicherheitsupdates installieren, wird Ihr System anfällig für die Ausnutzung durch Ransomware und andere Malware.