Ransomware 7ev3n-HONE$T verschlüsselt und erweitert die Dateien mit R5A

wp_honestDer Sicherheits-Experte Mosh hat eine neue Variante der bekannten 7ev3n Ransomware entdeckt, die sich selber 7ev3n-HONE$T benennt. Diese Ransomware verschlüsselt, wie viele andere Varianten auch, die Dateien des Benutzers und erpresst im Anschluss ein Lösegeld in Höhe von 400 USD in Form von Bitcoins. Zur jetzigen Zeit gibt es weder Informationen über die Verbreitungswege der Ransomware, noch detaillierte Informationen wie z.B. des verwendeten Verschlüsselungs-Algorithmus!

Bildschirmfoto 2016-04-26 um 14.10.37

Bild: bleepingcomputer.com – 7ev3n-HONE$T Ransomware Warnung

Ist 7ev3n-HONE$T auf dem System aktiv, werden die persönlichen Daten fortlaufend nummeriert und mit der Erweiterung .R5A ergänzt (1.R5A, 2.R5A, 3.R5A usw.). Weiterhin werden die Namen der verschlüsselten Dateien unter C:\Users\Public\files abgelegt. Sind alle Daten verschlüsselt, verbindet sich der Verschlüsselungs-Trojaner mit seinem Command & Control-Server mit der IP-Adresse 46.45.169.106 (Türkei Istanbul Radore Veri Merkezi Hizmetleri As / AS197328) und sendet u.a. gesammelte Informationen wie die zugewiesene Bitcoin-Adresse, die Gesamtmenge der verschlüsselten Dateien und der zugewiesenen eindeutigen ID.

Weiterhin werden folgende Dateien des Ransomware unter C:\Users\Public gefunden:

C:\Users\Public\conlhost.exe – Ransomware-Programm
C:\Users\Public\files – Liste der verschlüsselten Dateien
C:\Users\Public\FILES_BACK.txt – Kontakt der Ransomware-Entwickler
C:\Users\Public\testdecrypt – Liste der entschlüsselten Dateien
C:\Users\Public\time.e – Timestamp der Verschlüsselung

Hat die Ransomware ihre Arbeit verrichtet, zeigt dieser den üblichen Sperr-Bildschirm mit der Lösegeldforderung an, der sich in weitere drei Bereiche (View, Test Decrypt, How to Pay) gliedert. Das erste Fenster ist der übliche Sperrbildschirm und zeigt den Erpresserbrief und die Bitcoin-Adresse an. Der zweite Bildschirm ermöglicht es Ihnen, einen Test Entschlüsselung auf drei bis fünf Dateien auszuführen. Das dritte Fenster zeigt die Liste der verschlüsselten Dateien an. Im vierten Fenster werden die Bezahlinformationen angezeigt. YouTube-Video zu 7ev3n-HONE$T Ransomware! New updated versions.Video testing review! Demonstration attack!

Es gibt noch keine kostenfreie Wiederherstellung der Daten – Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

Wie Sie die Ransomware auf ihrem System bestimmen können, lesen sie hier>> 

Maßnahmen die getroffen werden können, bevor „7ev3n-HONE$T oder auch andere Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.

Bild: bleepingcomputer.com 

1 thought on “Ransomware 7ev3n-HONE$T verschlüsselt und erweitert die Dateien mit R5A”

Kommentare sind geschlossen.