Was ist ZILLA (Dharma) Ransomware?
ZILLA ist eine Ransomware-Variante der berüchtigten Dharma-Familie. Nach der Infektion eines Systems verschlüsselt ZILLA Dateien, benennt sie um und hinterlässt Lösegeldforderungen in einem Popup und einer Textdatei namens „ZILLA-INFO.txt“.
Table of Contents
Wie ZILLA Dateien umbenennt
Die Ransomware benennt Dateien um, indem sie die ID des Opfers, die E-Mail-Adresse filezilla@cock.li und die Erweiterung „.ZILLA“ hinzufügt. Beispielsweise wird „1.jpg“ zu „1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA“ und „2.png“ wird zu „2.png.id-9ECFA84E.[filezilla@cock.li].ZILLA“.
ZILLA-Lösegeldforderung – Übersicht
Anweisungen im Erpresserbrief
In der Lösegeldforderung werden die Opfer angewiesen, eine E-Mail an filezilla@cock.li zu senden und ihre ID in die Nachricht aufzunehmen. Wenn innerhalb von 12 Stunden keine Antwort erfolgt, wird eine alternative E-Mail-Adresse (filezilla@cyberfear.com) bereitgestellt. Den Opfern wird die Möglichkeit geboten, vor der Zahlung bis zu drei Dateien (jeweils weniger als 3 MB) kostenlos zu entschlüsseln.
Der Lösegeldbrief von ZILLA lautet wie folgt:
ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Warnungen und Empfehlungen
Der Hinweis warnt davor, verschlüsselte Dateien umzubenennen oder Entschlüsselungstools von Drittanbietern zu verwenden, da solche Aktionen zu dauerhaftem Datenverlust oder zusätzlichen Kosten führen könnten.
Weitere Details zu Ransomware
Vertrauensprobleme mit Cyberkriminellen
Nur die Cyberkriminellen, die hinter Ransomware-Angriffen stehen, verfügen im Allgemeinen über die Entschlüsselungstools, die zur Wiederherstellung von Dateien erforderlich sind. Allerdings stellen sie diese Tools oft auch nach der Zahlung nicht zur Verfügung. Daher wird dringend davon abgeraten, das Lösegeld zu zahlen, um den Verlust von Daten und Geld zu vermeiden.
Potenzial für Wiederherstellung ohne Zahlung
Opfer können Dateien möglicherweise wiederherstellen, ohne das Lösegeld zu zahlen, wenn sie Backups haben oder Entschlüsselungstools von Drittanbietern finden können. Es ist auch wichtig, Ransomware zu entfernen, um weitere Verschlüsselungen zu verhindern und die Verbreitung der Malware über ein lokales Netzwerk zu stoppen.
Merkmale der Dharma Family Ransomware
Systemauswirkungen und Persistenz
Die Dharma-Ransomware verschlüsselt lokale und im Netzwerk freigegebene Dateien, deaktiviert Firewalls und löscht Volumeschattenkopien. Sie stellt ihre Persistenz sicher, indem sie sich selbst in den Pfad „%LOCALAPPDATA%“ kopiert und sich mit bestimmten Run-Schlüsseln registriert. Darüber hinaus sammelt sie Standortdaten und kann bestimmte vorbestimmte Standorte ausschließen.
Ransomware im Allgemeinen
Ransomware – Definition und Funktion
Ransomware ist eine Art von Malware, mit der Cyberkriminelle Zahlungen im Austausch für Entschlüsselungstools verlangen. Opfer können ohne Zahlung nicht auf ihre Dateien zugreifen, es sei denn, sie verfügen über Backups oder Entschlüsselungstools von Drittanbietern. Zum Schutz vor Ransomware-Angriffen ist es ratsam, wichtige Dateien auf einem Remote-Server oder einem Offline-Speichergerät zu speichern.
Beispiele für Ransomware-Varianten
Weitere Beispiele für Ransomware-Varianten sind LostInfo, GameCrypt und RADAR.
Wie hat Ransomware meinen Computer infiziert?
Infektionsmethoden
Bedrohungsakteure verwenden verschiedene Methoden, um Benutzer dazu zu bringen, ihre Computer zu infizieren. Zu diesen Methoden gehören das Verstecken von Ransomware in Raubkopien, Crack-Tools und Schlüsselgeneratoren, das Versenden betrügerischer E-Mails mit bösartigen Anhängen oder Links, das Ausnutzen von Schwachstellen in veralteter Software oder Betriebssystemen und das Erstellen bösartiger Werbung.
Weitere Infektionswege
Cyberkriminelle nutzen außerdem P2P-Netzwerke, Downloader von Drittanbietern, manipulierte oder betrügerische Websites, Betrugsversuche beim technischen Support, kostenlose Filehosting-Sites und ähnliche Kanäle, um Benutzer zum Herunterladen und Ausführen von Malware zu verleiten. Die Ransomware der Dharma-Familie infiziert Systeme häufig über anfällige RDP-Dienste und verwendet Brute-Force- oder Wörterbuchangriffe auf schlecht verwaltete Anmeldeinformationen.
So schützen Sie sich vor Ransomware-Infektionen
Vorsichtsmaßnahmen
Um Ransomware-Infektionen zu vermeiden, seien Sie bei Dateien und Links in unerwarteten E-Mails von unbekannten Absendern vorsichtig. Interagieren Sie nicht mit Anzeigen, Popups, Schaltflächen, Links oder anderen Inhalten auf verdächtigen Websites. Laden Sie keine Raubkopien von Software oder Tools herunter, die die Aktivierung umgehen sollen, und beziehen Sie Software und Dateien immer von offiziellen Websites und seriösen App Stores.
Systemwartung und -schutz
Scannen Sie Ihr System regelmäßig mit einem zuverlässigen Sicherheitstool auf Bedrohungen und halten Sie Ihr Betriebssystem und alle Software auf dem neuesten Stand. Wenn Ihr Computer bereits mit ZILLA infiziert ist, führen Sie einen Scan mit einer Anti-Malware-Anwendung durch, um die Ransomware automatisch zu entfernen.
