Pegasus-Ransomware verschlüsselt Systemlaufwerke der Opfer

Unser Team stieß beim Durchsehen neuer Dateibeispiele auf Pegasus, ein Ransomware-Programm. Als wir eine Probe von Pegasus auf unserem Testcomputer ausführten, verschlüsselte es Dateien und änderte ihre Namen.

Die ursprünglichen Dateinamen wurden um eine zufällige Zeichenfolge erweitert, so wurde beispielsweise aus „1.jpg“ „1.jpg.tBC8M“ und aus „2.png“ „2.png.qGuj7“. Nach Abschluss des Verschlüsselungsvorgangs wurde eine Lösegeldforderung mit dem Namen „Ghost_ReadMe.txt“ hinterlegt.

Der Erpresserbrief informiert das Opfer darüber, dass seine Dateien aufgrund der Verschlüsselung nicht zugänglich sind. Er versichert dem Opfer, dass es seine Daten wiederherstellen kann, indem es das Entschlüsselungstool von den Angreifern kauft. Der Lösegeldbetrag wird mit 350 US-Dollar in der Kryptowährung Bitcoin angegeben. Nach der Zahlung wird das Opfer aufgefordert, einen Nachweis der Transaktion vorzulegen, woraufhin ihm versprochen wird, den Entschlüsselungsschlüssel zu erhalten.

Pegasus-Lösegeldforderung fordert 350 US-Dollar Zahlung

Der vollständige Text der von der Pegasus-Ransomware generierten Datei „Ghost_ReadMe.txt“ lautet wie folgt:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Welches sind die häufigsten Angriffsmethoden von Ransomware?

Ransomware kann Systeme über verschiedene Angriffsmethoden infiltrieren. Zu den häufigsten zählen:

Phishing-E-Mails: Angreifer verbreiten Ransomware häufig über Phishing-E-Mails mit schädlichen Anhängen oder Links. Diese E-Mails geben sich möglicherweise als legitime Unternehmen oder Organisationen aus und verleiten die Empfänger dazu, auf Links zu klicken oder Anhänge herunterzuladen, die Ransomware-Payloads enthalten.

Bösartige Websites: Ransomware kann über bösartige Websites oder manipulierte legitime Websites verbreitet werden. Der Besuch solcher Websites oder das Anklicken bösartiger Anzeigen kann zum automatischen Download und zur Ausführung von Ransomware auf dem System des Opfers führen.

Exploit-Kits: Cyberkriminelle nutzen Schwachstellen in Software oder Betriebssystemen mithilfe von Exploit-Kits aus, um Ransomware zu verbreiten. Diese Kits zielen auf bekannte Schwachstellen ab, die nicht gepatcht wurden, und ermöglichen Angreifern den unbefugten Zugriff auf Systeme und die Verbreitung von Ransomware.

Remote Desktop Protocol (RDP): Angreifer können RDP-Anmeldeinformationen mit Brute-Force-Methoden erbeuten oder schwache Passwörter ausnutzen, um sich per Fernzugriff unberechtigten Zugriff auf Systeme zu verschaffen. Sobald sie sich im System befinden, können sie Ransomware direkt auf den infizierten Systemen installieren.

Drive-By-Downloads: Ransomware kann durch Drive-By-Downloads verbreitet werden. Dabei wird beim Besuch kompromittierter oder bösartiger Websites automatisch Schadsoftware heruntergeladen und auf dem System des Opfers installiert, ohne dass dieses davon Kenntnis oder Zustimmung hat.

Malvertising: Cyberkriminelle können Ransomware durch bösartige Werbung (Malvertising) verbreiten, die auf legitimen Websites angezeigt wird. Wenn Benutzer auf diese Anzeigen klicken, werden sie möglicherweise auf Websites weitergeleitet, die Ransomware hosten, oder es werden automatische Downloads von Ransomware-Payloads gestartet.

Remote Code Execution (RCE): Schwachstellen in Webanwendungen oder Serversoftware können ausgenutzt werden, um beliebigen Code remote auszuführen. Angreifer können RCE-Schwachstellen ausnutzen, um Ransomware auf Servern oder vernetzten Geräten zu installieren.

File-Sharing-Netzwerke: Ransomware kann sich über Peer-to-Peer-Filesharing-Netzwerke (P2P) oder kompromittierte Netzwerkfreigaben verbreiten. Infizierte Dateien, die über diese Netzwerke geteilt werden, können zur Verbreitung von Ransomware auf andere Benutzer oder Geräte führen, die mit dem Netzwerk verbunden sind.