IRIS Ransomware verschlüsselt Daten
Bei der Untersuchung neuer Dateibeispiele stieß unser Forschungsteam auf eine Schadsoftware namens IRIS, die von der Ransomware Chaos abgeleitet ist. IRIS verschlüsselt Dateien und verlangt dann eine Zahlung für die Entschlüsselung.
In unserer Testumgebung sperrte diese Ransomware Dateien und fügte ihren Dateinamen eine vierstellige Erweiterung hinzu. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ nach der Verschlüsselung als „1.jpg.582m“ erscheinen, während „2.png“ zu „2.png.2n02“ würde, und so weiter für alle betroffenen Dateien. Nach diesem Verschlüsselungsprozess änderte IRIS das Desktop-Hintergrundbild und hinterließ eine Lösegeldforderung mit dem Namen „read_it.txt“.
In der von IRIS übermittelten Nachricht wird erklärt, dass die Dateien des Opfers verschlüsselt wurden und dass für ihre Wiederherstellung ein Lösegeld in Höhe von 350 US-Dollar zu zahlen ist, zahlbar in XMR (Kryptowährung Monero). Darüber hinaus wird in der Nachricht gewarnt, dass vertrauliche Daten des Opfers, wie der Browserverlauf und personenbezogene Daten, ausgelesen und gestohlen wurden. Folglich wird das Formatieren des Geräts als unwirksame Lösung angesehen, da die Angreifer drohen, die gestohlenen Inhalte offenzulegen, wenn keine Zahlung erfolgt.
IRIS-Lösegeldforderung fordert 350 US-Dollar
Der vollständige Text des von IRIS erstellten Lösegeldbriefs lautet wie folgt:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Wie kann Ransomware in Ihr System gelangen?
Ransomware kann Ihr System auf verschiedene Weise infiltrieren, unter anderem:
Phishing-E-Mails: Eine gängige Methode sind bösartige E-Mails mit Anhängen oder Links, die beim Anklicken die Ransomware-Nutzlast ausführen. Diese E-Mails tarnen sich oft als legitime Mitteilungen aus vertrauenswürdigen Quellen und verleiten Benutzer dazu, sie zu öffnen.
Schädliche Websites: Der Besuch kompromittierter oder bösartiger Websites kann Ihr System Ransomware aussetzen. Diese Websites können Schwachstellen in Ihrem Browser oder in Plugins ausnutzen, um ohne Ihr Wissen Ransomware herunterzuladen und auszuführen.
Malvertising: Bösartige Werbung, auch Malvertising genannt, kann beim Anklicken Ransomware-Payloads liefern. Diese Anzeigen können auf legitimen Websites erscheinen und Schwachstellen in Werbenetzwerken ausnutzen, um Malware zu verbreiten.
Ausnutzen von Schwachstellen: Ransomware kann ungepatchte Softwareschwachstellen in Ihrem Betriebssystem oder in installierten Anwendungen ausnutzen. Angreifer können Exploit-Kits verwenden, also Codepakete, die die Ausnutzung bekannter Schwachstellen automatisieren, um Ransomware-Payloads zu übermitteln.
Remote Desktop Protocol (RDP)-Angriffe: Angreifer können schwache oder standardmäßige Anmeldeinformationen von Remote Desktop Protocol (RDP)-Diensten ausnutzen, um sich unbefugten Zugriff auf Ihr System zu verschaffen. Sobald sie sich Zugang verschafft haben, können sie Ransomware installieren und Dateien verschlüsseln.
Drive-by-Downloads: Ransomware kann auch durch Drive-by-Downloads verbreitet werden. Dabei wird beim Besuch einer kompromittierten oder bösartigen Website automatisch Malware heruntergeladen und ausgeführt.
