Udaigen Ransomware verschlüsselt Opferdateien
Während unserer Untersuchung neuer Dateieinsendungen machte unser Team eine interessante Entdeckung – eine Ransomware-Variante namens Udaigen. Dieses Schadprogramm funktioniert, indem es Dateien verschlüsselt und dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel verlangt.
Beim Testen von Udaigen auf unserem vorgesehenen Computer stellten wir fest, dass es Dateien verschlüsselte und ihre Dateinamen durch Hinzufügen der Erweiterung „.jcrypt“ änderte. Beispielsweise wurde eine Datei mit dem Namen „1.jpg“ in „1.jpg.jcrypt“ umgewandelt, und „2.png“ wurde zu „2.png.jcrypt“ und so weiter. Sobald der Verschlüsselungsprozess abgeschlossen war, zeigte die Ransomware ein Popup-Fenster neben einer Textdatei mit dem Namen „_RECOVER__FILES.jcrypt.txt“ an.
Sowohl die Popup-Nachricht als auch die Textdatei enthielten Lösegeldforderungen mit ähnlichen Informationen. Die Nachrichten informierten das Opfer darüber, dass seine Dateien verschlüsselt wurden, und enthielten Anweisungen, um den Entschlüsselungsprozess zu erleichtern. Das Opfer wurde angewiesen, eine Zahlung von 2 BTC (Bitcoin-Kryptowährung) zu überweisen, um den notwendigen Entschlüsselungsschlüssel zu erhalten. Zum Zeitpunkt des Verfassens dieses Artikels entspricht dieser Betrag etwa 57.000 USD. Es ist zu beachten, dass Wechselkurse häufigen Schwankungen unterliegen und die Umrechnung derzeit möglicherweise nicht ganz korrekt ist.
Der Lösegeldschein von Udaigen listet verschlüsselte Dateien auf
Der vollständige Text der Lösegeldforderung von Udaigen lautet wie folgt:
Alle Ihre Dateien wurden verschlüsselt.
Um sie freizuschalten, senden Sie bitte 2 Bitcoin(s) an die BTC-Adresse: 35tNmAJqbWwPHGLZT15eQthyP7AwT1DNiv
Anschließend senden Sie bitte Ihre Transaktions-ID per E-Mail an: udai@membermail.netWenn Sie ein bisschen faul sind, werden Sie Ihre Dateien nicht zurückbekommen.
Verschlüsselungsprotokoll:
(Liste der Dateien)
Wie kann Ransomware wie Udaigen auf Ihren Computer gelangen?
Es gibt mehrere Möglichkeiten, wie Ransomware wie Udaigen Ihren Computer infizieren kann. Hier sind einige gängige Methoden:
- E-Mail-Anhänge: Ransomware kann über bösartige E-Mail-Anhänge verbreitet werden. Cyberkriminelle versenden Phishing-E-Mails oft getarnt als legitime Nachrichten aus seriösen Quellen. Diese E-Mails können infizierte Anhänge wie Dokumente oder komprimierte Dateien enthalten, die beim Öffnen die Ransomware auf Ihrem Computer ausführen.
- Infizierte Websites und Downloads: Der Besuch kompromittierter oder bösartiger Websites kann Ihren Computer der Gefahr von Ransomware aussetzen. Cyberkriminelle können schädlichen Code in Websites einschleusen, der Schwachstellen in Ihrem Webbrowser oder Plugins ausnutzen kann, um unbemerkt Ransomware herunterzuladen und auf Ihrem System zu installieren. Auch illegale Downloads von nicht vertrauenswürdigen Quellen können Ransomware enthalten.
- Schädliche Links und Werbung: Das Klicken auf schädliche Links oder Werbung kann zu Ransomware-Infektionen führen. Diese Links können in E-Mails, Social-Media-Plattformen oder sogar legitim aussehenden Websites gefunden werden. Sobald Sie darauf klicken, können sie Sie zu Websites weiterleiten, auf denen Ransomware gehostet wird, oder einen Drive-by-Download starten, wodurch die Ransomware ohne Ihr Wissen automatisch auf Ihrem Computer installiert wird.
- Ausnutzung von Software-Schwachstellen: Ransomware-Entwickler nutzen häufig Sicherheitslücken in Betriebssystemen, Softwareanwendungen oder Plugins aus. Durch die Ausnutzung dieser Schwachstellen können sie sich unbefugten Zugriff auf Ihren Computer verschaffen und Ransomware verbreiten.
- RDP-Angriffe (Remote Desktop Protocol): Wenn Sie Remote Desktop auf Ihrem Computer ohne angemessene Sicherheitsmaßnahmen aktiviert haben, können Cyberkriminelle schwache oder Standardanmeldeinformationen ausnutzen, um Zugriff auf Ihr System zu erhalten. Sobald sie drinnen sind, können sie Ransomware oder andere Malware installieren.
- Schädliche Software-Updates: Angreifer können legitime Software-Update-Mechanismen kompromittieren und gefälschte Updates verbreiten, die Ransomware enthalten. Wenn Benutzer diese Updates unwissentlich installieren, wird die Ransomware auf ihren Systemen verteilt.