FORCE Ransomware hält Ihre Dateien gefangen

Unser Forscherteam stieß bei einer routinemäßigen Untersuchung neuer Dateibeispiele auf die Ransomware-Variante FORCE. FORCE gehört zur Phobos-Ransomware-Familie.

Während der Tests auf unserem experimentellen System verschlüsselte FORCE erfolgreich Dateien und verlangte dann eine Zahlung für deren Entschlüsselung. Die Namen der verschlüsselten Dateien wurden geändert und enthielten nun eine eindeutige, dem Opfer zugewiesene Kennung, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.FORCE“. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ als „1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE“ angezeigt.

Nach dem Verschlüsselungsprozess wurden identische Lösegeldscheine generiert – einer in Form eines Pop-ups („info.hta“) und der andere als Textdatei („info.txt“). Diese Nachrichten wurden auf dem Desktop abgelegt und über alle Verzeichnisse verteilt, die verschlüsselte Dateien enthielten.

Die mit FORCE verbundenen Lösegeldscheine weisen darauf hin, dass die Dateien des Opfers verschlüsselt und sensible Daten kompromittiert wurden. Um die Dateien zu entschlüsseln, wird eine Lösegeldzahlung in der Kryptowährung Bitcoin verlangt. Die Nichteinhaltung dieser Anforderungen hätte den Verkauf der durchgesickerten Informationen zur Folge. Vor jeder Zahlung wird dem Opfer die Möglichkeit geboten, den Entschlüsselungsprozess kostenlos zu testen, allerdings mit gewissen Einschränkungen.

Diese Meldungen warnen davor, die verschlüsselten Dateien zu verändern oder Wiederherstellungstools von Drittanbietern zu verwenden, da dies dazu führen könnte, dass die Daten dauerhaft unzugänglich sind. Darüber hinaus wird das Opfer gewarnt, dass die Inanspruchnahme externer Hilfe seine finanziellen Verluste verschärfen könnte.

FORCE-Lösegeldschein in voller Länge

Der vollständige Text der FORCE-Lösegeldforderung lautet wie folgt:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Wie wird Ransomware häufig online verbreitet?

Ransomware wird häufig online über verschiedene Methoden verbreitet, darunter:

Phishing-E-Mails: Hacker versenden betrügerische E-Mails mit schädlichen Anhängen oder Links. Diese E-Mails geben sich häufig als legitime Unternehmen oder Organisationen aus und verleiten die Empfänger dazu, den Anhang zu öffnen oder auf den Link zu klicken, wodurch die Ransomware auf ihrem System installiert wird.

Malvertising: Schädliche Werbung, die auf legitimen Websites angezeigt wird, kann Benutzer auf Websites umleiten, auf denen Exploit-Kits gehostet werden, die wiederum über Schwachstellen in ihrer Software Ransomware auf das Gerät des Opfers übertragen.

Exploit-Kits: Dies sind Pakete mit vorgefertigtem Code, die Schwachstellen in veralteter Software oder Betriebssystemen ausnutzen. Wenn Benutzer kompromittierte Websites besuchen oder auf schädliche Links klicken, laden Exploit-Kits unbemerkt Ransomware herunter und installieren sie auf ihren Geräten.

Remote Desktop Protocol (RDP)-Angriffe: Angreifer verschaffen sich mit schwachen oder standardmäßigen RDP-Anmeldeinformationen unbefugten Zugriff auf Systeme. Sobald sie eingedrungen sind, verteilen sie Ransomware direkt im kompromittierten Netzwerk und verursachen oft großen Schaden.

Drive-by-Downloads: Schädlicher Code wird in legitime Websites eingeschleust, was dazu führt, dass Besucher unabsichtlich Ransomware auf ihre Geräte herunterladen, indem sie einfach auf der Website surfen.

Software-Schwachstellen: Ransomware-Autoren nutzen Schwachstellen in Software oder Betriebssystemen aus, um sich unbefugten Zugriff auf Systeme zu verschaffen und Ransomware ohne Wissen oder Zustimmung des Benutzers zu installieren.

Peer-to-Peer-Netzwerke (P2P): Ransomware kann als geknackte Software oder Raubkopien getarnt sein, die über P2P-Netzwerke verbreitet werden. Ahnungslose Benutzer laden diese Dateien herunter und führen sie aus, wodurch sie unwissentlich ihre Systeme mit Ransomware infizieren.