Crocodile Smile Ransomware nimmt Ihre Daten als Geisel

Bei der Untersuchung neuer Dateibeispiele entdeckten unsere Forscher die Ransomware Crocodile Smile. Diese Schadsoftware verschlüsselt Daten und verlangt dann eine Zahlung für die Entschlüsselung.

Als wir auf unserem Testrechner eine Probe von Crocodile Smile ausführten, wurde sofort der Verschlüsselungsprozess eingeleitet. Die Dateinamen der betroffenen Dateien wurden mit der Erweiterung „.CrocodileSmile“ geändert; so wurde beispielsweise „1.jpg“ zu „1.jpg.CrocodileSmile“, „2.png“ zu „2.png.CrocodileSmile“ und so weiter für alle verschlüsselten Dateien.

Nach Abschluss des Verschlüsselungsprozesses änderte Crocodile Smile das Desktop-Hintergrundbild und generierte eine Lösegeldforderung mit der Bezeichnung „READ_SOLUTION.txt“.

Der Inhalt des Erpresserbriefs deutet darauf hin, dass Crocodile Smile in erster Linie große Organisationen und nicht einzelne Benutzer ins Visier nimmt. Die Opfer befinden sich wahrscheinlich in Europa, wie aus einer Zeile im Erpresserbrief hervorgeht, in der die Einhaltung der europäischen Datenschutzbestimmungen erwähnt wird, was darauf hindeutet, dass der Schwerpunkt darauf liegt, die Opfer über den Verstoß zu informieren und Hilfe anzubieten.

Die in der Lösegeldforderung enthaltene Nachricht informiert das Opfer darüber, dass seine Dateien verschlüsselt und seine sensiblen Daten kompromittiert wurden. Es wird angewiesen, 20,6 BTC (Bitcoin-Kryptowährung) zu zahlen, um den Entschlüsselungsschlüssel zu erhalten und zu verhindern, dass die Angreifer die gestohlenen Daten weitergeben. Zum Zeitpunkt des Schreibens dieses Artikels entspricht dieser Betrag etwa 1,4 Millionen USD. Es ist also offensichtlich, dass die Ransomware auf Unternehmen und Organisationen und nicht auf Privatanwender abzielt.

Lösegeldforderung mit Krokodilslächeln soll lustig klingen

Der vollständige Text des Lösegeldbriefs von Crocodile Smile lautet wie folgt:

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

Wie können Sie Ihre Daten präventiv vor Ransomware-Angriffen schützen?

Um Ihre Daten vor Ransomware-Angriffen zu schützen, müssen Sie mehrere proaktive Maßnahmen ergreifen, um das Infektionsrisiko zu minimieren und potenzielle Schäden zu mindern. Hier sind einige Strategien, die Sie anwenden können:

Regelmäßige Sicherungen: Erstellen Sie regelmäßig Sicherungen Ihrer wichtigen Daten auf externen Festplatten, in Cloud-Speichern oder auf Backup-Servern. Stellen Sie sicher, dass die Sicherungen offline oder in einem separaten Netzwerksegment gespeichert werden, um zu verhindern, dass sie von Ransomware verschlüsselt werden.

Software aktualisieren: Halten Sie alle Betriebssysteme, Anwendungen und Sicherheitssoftware mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand. Schwachstellen in veralteter Software können von Ransomware ausgenutzt werden.

Verwenden Sie Antivirus- und Anti-Malware-Software: Installieren Sie auf allen Geräten bewährte Antivirus- und Anti-Malware-Programme und stellen Sie sicher, dass sie regelmäßig aktualisiert werden. Diese Tools können Ransomware-Infektionen erkennen und blockieren.

Setzen Sie E-Mail-Sicherheitsmaßnahmen ein: Implementieren Sie E-Mail-Filter- und Scan-Lösungen, um verdächtige Anhänge und Links, die Ransomware enthalten könnten, zu erkennen und zu blockieren. Informieren Sie Ihre Mitarbeiter über die Risiken von Phishing-E-Mails und ermutigen Sie sie, beim Öffnen von Anhängen oder Anklicken von Links vorsichtig zu sein.

Firewall-Schutz aktivieren: Nutzen Sie Firewalls, um eingehenden und ausgehenden Netzwerkverkehr zu überwachen und zu kontrollieren und so unbefugten Zugriff und potenziell böswillige Verbindungen zu blockieren.

Benutzerrechte einschränken: Beschränken Sie die Benutzerberechtigungen auf das für die Ausführung ihrer Aufgaben erforderliche Maß. Die Einschränkung von Administratorrechten kann dazu beitragen, die Verbreitung von Ransomware in Netzwerken zu verhindern.