Was ist Lucky Ransomware?
Lucky ist eine Art Ransomware, die von unseren Forschern bei einer routinemäßigen Überprüfung neuer Einsendungen auf der VirusTotal-Website entdeckt wurde. Es gehört zur Phobos-Ransomware-Familie.
Table of Contents
Verschlüsselung und Lösegeldscheine
Lucky Ransomware verschlüsselt Dateien auf dem Computer des Opfers und ändert deren Dateinamen. An die Originaltitel sind eine eindeutige ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.Lucky“ angehängt. Beispielsweise würde eine Datei mit dem Namen „1.jpg“ als „1.jpg.id[9ECFA84E-3451].[ dopingen@rambler.ru ].Lucky“ erscheinen.
Nachdem der Verschlüsselungsprozess abgeschlossen ist, erstellt Lucky Lösegeldforderungen in Form eines Popup-Fensters („info.hta“) und einer Textdatei („info.txt“).
Risiken und Folgen der Zahlung des Lösegelds
Der Lösegeldschein in der Textdatei informiert das Opfer lediglich darüber, dass seine Dateien verschlüsselt wurden, und weist es an, Kontakt mit den Angreifern aufzunehmen. Der Hinweis im Popup-Fenster enthält weitere Details zur Infektion und besagt, dass das Opfer ein Lösegeld in der Kryptowährung Bitcoin zahlen muss, um seine Daten zu entschlüsseln. Die Angreifer erlauben dem Opfer, den Entschlüsselungsprozess zu testen, indem sie bis zu fünf verschlüsselte Dateien versenden.
Allerdings ist die Zahlung des Lösegelds keine Garantie dafür, dass die Entschlüsselungsschlüssel oder die Software bereitgestellt werden. Tatsächlich erhalten viele Opfer, die das Lösegeld zahlen, nicht die versprochenen Entschlüsselungswerkzeuge. Von der Zahlung des Lösegelds wird dringend abgeraten, da dadurch illegale Aktivitäten unterstützt werden und es keine Garantie für die Datenwiederherstellung gibt.
Verhindern und Entfernen von Lucky Ransomware
Um zu verhindern, dass die Lucky-Ransomware weitere Dateien verschlüsselt, ist es wichtig, sie aus dem Betriebssystem zu entfernen. Durch das Entfernen der Ransomware werden die gefährdeten Dateien jedoch nicht wiederhergestellt. Die einzige Lösung besteht darin, die Dateien aus einem Backup wiederherzustellen, sofern eines verfügbar ist. Aus Gründen der Datensicherheit wird dringend empfohlen, Backups an mehreren separaten Orten zu speichern, z. B. auf Remote-Servern und nicht angeschlossenen Speichergeräten.
Neben Lucky Ransomware gibt es noch viele andere Ransomware-artige Programme. Einige Beispiele sind Rajah, Snea575 (Chaos), Waqq und Gaqq. Obwohl diese Programme ähnlich funktionieren, unterscheiden sie sich in den von ihnen verwendeten kryptografischen Algorithmen und der Höhe des geforderten Lösegelds.
Ransomware, einschließlich Lucky, wird hauptsächlich durch Phishing- und Social-Engineering-Techniken verbreitet. Schädliche Programme werden häufig als gewöhnliche Software oder Medien getarnt oder mit diesen gebündelt.
Infektiöse Dateien können in Form von Archiven (ZIP, RAR), ausführbaren Dateien (.exe, .run), Dokumenten (Microsoft Office, Microsoft OneNote), JavaScript und mehr vorliegen.