Keylock Ransomware gebruikt een lange losgeldbrief

ransomware

Onze onderzoekers identificeerden Keylock als een soort ransomwareprogramma tijdens een regelmatig onderzoek van nieuwe bestandsinzendingen. Ransomware functioneert door bestanden te versleutelen en vervolgens betaling te eisen voor de ontsleuteling ervan.

Op ons testsysteem versleutelde Keylock bestanden en voegde een ".keylock" -extensie toe aan hun bestandsnamen. Een bestand dat oorspronkelijk '1.jpg' heette, werd bijvoorbeeld '1.jpg.keylock', '2.png' veranderde in '2.png.keylock', enzovoort voor alle betrokken bestanden.

Nadat het versleutelingsproces was voltooid, werd een losgeldbrief met de titel "README-id-[gebruikersnaam].txt" gegenereerd. Keylock veranderde ook de bureaubladachtergrond.

De door Keylock geleverde achtergrond leidt het slachtoffer naar het tekstbestand. De losgeldbrief in dit bestand legt uit dat de ontoegankelijke bestanden zijn gecodeerd en suggereert dat de gegevens van het slachtoffer zijn buitgemaakt.

Om de gegevens te herstellen, moet het slachtoffer de unieke decoderingssleutel verkrijgen die in het bezit is van de aanvallers. Om de decoderingstools te verkrijgen, moet een niet-gespecificeerd losgeld in Bitcoin-cryptocurrency worden betaald. Het slachtoffer krijgt 72 uur de tijd om contact op te nemen met de cybercriminelen; Als u dit niet doet, worden de gestolen bedrijfsgegevens openbaar gemaakt of verkocht.

Voordat het slachtoffer een betaling uitvoert, heeft het de mogelijkheid om het decoderingsproces te testen door maximaal drie gecodeerde bestanden naar de aanvallers te sturen. Deze bestanden mogen niet groter zijn dan 2 MB en mogen geen waardevolle informatie bevatten.

Het bericht waarschuwt ook tegen het hernoemen, wijzigen of verwijderen van de gecodeerde bestanden, het handmatig decoderen of het gebruik van herstelsoftware of antivirusprogramma's van derden, aangezien deze acties kunnen resulteren in permanent gegevensverlies.

Keylock losgeldbrief dreigt 72 uur na aanval te lekken

De volledige tekst van het Keylock-losgeldbriefje luidt als volgt:

UW BESTANDEN ZIJN VERSLEUTELD

Uw bestanden zijn gecodeerd met sterke encryptie-algoritmen en aangepast en hebben nu de extensie '.keylock'!
De bestandsstructuur is niet beschadigd. Maakt u zich geen zorgen, uw unieke encryptiesleutel wordt veilig op onze server opgeslagen en uw gegevens kunnen snel en veilig worden gedecodeerd.
Wij garanderen dat u al uw gegevens gemakkelijk kunt herstellen.
Wij geven u volledige instructies. En helpen u totdat het decoderingsproces volledig is voltooid.

Wij kunnen bewijzen dat wij al uw gegevens kunnen ontsleutelen. Stuur ons alstublieft 3 niet belangrijke, kleine (~2mb) gecodeerde bestanden, die willekeurig op uw server worden opgeslagen. Voeg ook uw README-id.txt toe die door ons is achtergelaten in elke map.
Wij zullen deze bestanden ontsleutelen en als bewijs naar u toesturen. Houd er rekening mee dat bestanden voor gratis testdecodering geen waardevolle informatie mogen bevatten.

Als u niet binnen 72 uur een dialoog met ons aangaat, zijn wij genoodzaakt uw bestanden openbaar te maken. Uw klanten en partners worden geïnformeerd over het datalek.
Op deze manier wordt uw reputatie geruïneerd. Als u niet reageert, zijn wij genoodzaakt de belangrijkste informatie zoals databases en persoonsgegevens aan geïnteresseerden te verkopen om zo enige winst te genereren.
Het is gewoon een bedrijf.
Wij geven absoluut niets om u en uw deals, behalve om het verkrijgen van voordelen.
Als we ons werk en onze verplichtingen niet nakomen, zal niemand met ons samenwerken. Het is niet in ons belang.

Als u uw bestanden wilt decoderen, moet u in Bitcoins betalen.
Als u deze situatie wilt oplossen, voegt u dit bestand README-id.txt per brief toe en schrijft u naar AL deze 2 e-mailadressen:

sleutelhanger@onionmail.org
keybranch@mailfence.com

Je kunt ons ook een bericht sturen via Telegram: hxxps://t.me/key_chain

BELANGRIJK!
Wij raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat u te veel betaalt aan makelaars. Uw gegevens zijn gecodeerd en alleen WIJ ZIJN hebben een decoderingssleutel. Om uw gegevens te ontsleutelen heeft u slechts 1 uur nodig, na betaling, maximaal.
We vragen om uw bericht naar AL onze 2 e-mailadressen en Telegram te sturen, omdat uw e-mail om verschillende redenen mogelijk niet wordt afgeleverd.
Ons bericht kan worden herkend als spam, controleer dus zeker de spammap.
Als we niet binnen 24 uur reageren, schrijf ons dan vanaf een ander e-mailadres.
Verspil geen tijd, dit zal alleen maar extra schade voor uw bedrijf tot gevolg hebben.
Wijzig de naam niet en probeer de bestanden zelf te decoderen. Als bestanden worden aangepast, kunnen wij u niet helpen.
Als u software van derden probeert te gebruiken voor het herstellen van uw gegevens of antivirusoplossingen, maak dan een back-up van alle gecodeerde bestanden.
Als u gecodeerde bestanden van de huidige computer verwijdert, kunt u deze mogelijk niet meer decoderen.

Waarom gebruiken ransomware-actoren bedreigingen voor datalekken?

Ransomware-actoren maken om verschillende redenen gebruik van datalekken:

  • Grotere invloed: het dreigen met het lekken van gevoelige gegevens geeft ransomware-exploitanten een grotere invloed op hun slachtoffers. Het voegt een extra druklaag toe door het slachtoffer het gevoel te geven dat niet alleen zijn bestanden versleuteld en ontoegankelijk zijn, maar dat zijn privé- en potentieel schadelijke informatie ook aan het publiek kan worden blootgesteld.
  • Hogere losgeldbetalingen: Slachtoffers zullen eerder een hoger losgeldbedrag betalen als ze denken dat de gestolen gegevens gevoelig, vertrouwelijk of waardevol zijn. De angst voor reputatieschade, juridische gevolgen of financieel verlies kan slachtoffers ertoe aanzetten om aan de losgeldeisen te voldoen.
  • Reputatieschade: Datalekken kunnen de reputatie van een organisatie ernstig schaden. Als gevoelige of privé-informatie openbaar wordt gemaakt, kan dit het vertrouwen onder klanten, partners en belanghebbenden aantasten. Bedrijven willen vaak koste wat het kost datalekken voorkomen om hun imago te beschermen.
  • Juridische en nalevingsproblemen: Datalekken kunnen aanzienlijke juridische en nalevingsproblemen voor organisaties veroorzaken. Afhankelijk van de aard van de gestolen gegevens kunnen organisaties worden onderworpen aan boetes van toezichthouders en juridische stappen. Het betalen van het losgeld lijkt misschien een manier om deze potentiële gevolgen te vermijden.
  • Publieke shaming: Sommige ransomwaregroepen gebruiken bedreigingen voor datalekken als tactiek om hun slachtoffers publiekelijk te schande te maken. Zij kunnen een deel van de gestolen gegevens lekken of bewijs leveren van de inbreuk, wat kan leiden tot negatieve media-aandacht en publieke schaamte voor de slachtofferorganisatie.
  • Druk om snel te betalen: De dreiging van datalekken gaat vaak gepaard met een krappe deadline, waardoor slachtoffers gedwongen worden snelle beslissingen te nemen. Deze urgentie kan leiden tot overhaaste losgeldbetalingen om blootstelling aan gegevens te voorkomen.

Tegen Zaib
October 19, 2023
Ransomware
Nederlands
October 19, 2023
Ransomware

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.