Umgang mit der Ragnar Locker Ransomware (05.20.24)

Anti-Malware

Ransomware ist eine sehr bösartige Malware, da die Angreifer das Opfer auffordern, dafür zu bezahlen, dass seine wichtigen Daten aus der Geiselhaft befreit werden. Die Ransomware infiziert heimlich das Gerät des Opfers, verschlüsselt die wichtigen Daten (einschließlich der Sicherungsdateien) und hinterlässt dann Anweisungen, wie viel Lösegeld gezahlt werden soll und wie es bezahlt werden soll. Nach all diesen Schwierigkeiten hat das Opfer keine Garantie dafür, dass der Angreifer den Entschlüsselungsschlüssel tatsächlich freigibt, um die Dateien zu entsperren. Und wenn sie es jemals tun, könnten einige der Dateien beschädigt werden, was sie am Ende unbrauchbar macht.

Im Laufe der Jahre hat der Einsatz von Ransomware an Popularität gewonnen, da es für Hacker die direkteste Möglichkeit ist, Geld zu verdienen. Sie müssen nur die Malware löschen und dann warten, bis der Benutzer Geld über Bitcoin sendet. Laut Daten von Emsisoft stieg die Zahl der Ransomware-Angriffe im Jahr 2019 gegenüber dem Vorjahr um 41 % und betraf rund 1.000 US-Unternehmen. Cybersecurity Ventures sagte sogar voraus, dass Ransomware alle 11 Sekunden Unternehmen angreift.

Anfang dieses Jahres griff Ragnar Locker, eine neue Malware-Art, Energias de Portugal (EDP), ein portugiesisches Energieversorgungsunternehmen mit Sitz in Lissabon, an . Die Angreifer forderten 1.580 Bitcoins als Lösegeld, was etwa 11 Millionen US-Dollar entspricht.

Was ist Ragnar Locker Ransomware?

Ragnar Locker ist eine Ransomware-Malware, die nicht nur zum Verschlüsseln von Daten erstellt wurde, sondern auch zum Beenden installierter Anwendungen wie ConnectWise und Kaseya, die normalerweise von Managed Service Providern und mehreren Windows-Diensten verwendet werden. Ragnar Locker benennt die verschlüsselten Dateien um, indem es eine eindeutige Erweiterung anhängt, die aus dem Wort Ragnar gefolgt von einer Reihe von Zufallszahlen und Zeichen besteht. Beispielsweise wird eine Datei mit dem Namen A.jpg in A.jpg.ragnar_0DE48AAB umbenannt.

Nachdem die Dateien verschlüsselt wurden, wird eine Lösegeldnachricht mit einer Textdatei mit demselben Namensformat wie mit obigem Beispiel. Die Lösegeldforderung könnte RGNR_0DE48AAB.txt heißen.

Diese Ransomware läuft nur auf Windows-Computern, aber es ist noch nicht sicher, ob die Autoren dieser Malware auch eine Mac-Version von Ragnar Locker entwickelt haben. Es zielt normalerweise auf Prozesse und Anwendungen ab, die häufig von Managed Service Providern verwendet werden, um zu verhindern, dass ihre Angriffe erkannt und gestoppt werden. Ragnar Locker richtet sich nur an englischsprachige Benutzer.

Die Ragnar Locker-Ransomware wurde erstmals Ende Dezember 2019 entdeckt, als sie im Rahmen von Angriffen auf kompromittierte Netzwerke eingesetzt wurde. Laut Sicherheitsexperten war der Angriff von Ragnar Locker auf den europäischen Energieriesen ein gut durchdachter und gründlich geplanter Angriff.

Hier ist ein Beispiel für die Lösegeldforderung von Ragnar Locker:

>Hallo*!

********************

Wenn Sie diese Nachricht lesen, wurde Ihr Netzwerk und alle Ihre Dateien durchdrungen und Daten wurden VERSCHLÜSSELT

von RAGNAR_LOCKER !

********************

*********Was passiert mit Ihrem System?* **********

Ihr Netzwerk wurde durchdrungen, alle Ihre Dateien und Backups wurden gesperrt! Ab sofort kann Ihnen also niemand helfen, Ihre Dateien zurückzubekommen, AUSSER UNS.

Sie können es googeln, es gibt keine MÖGLICHKEITEN, Daten ohne unseren GEHEIMSCHLÜSSEL zu entschlüsseln.

Aber keine Sorge! Ihre Dateien sind NICHT BESCHÄDIGT oder VERLOREN, sie sind nur GEÄNDERT. Sie können es zurückbekommen, sobald Sie BEZAHLEN.

Wir suchen nur nach GELD, daher besteht kein Interesse für uns, Ihre Informationen zu stehlen oder zu löschen

JEDOCH können Sie Ihre DATEN selbst beschädigen, wenn Sie versuchen, mit einer anderen Software zu entschlüsseln, ohne UNSEREN SPEZIFISCHEN VERSCHLÜSSELUNGSSCHLÜSSEL !!!

Außerdem wurden alle Ihre sensiblen und privaten Informationen gesammelt und wenn Sie sich entscheiden, NICHT zu bezahlen,

werden wir sie zur öffentlichen Ansicht hochladen!

****

***********Wie bekomme ich deine Dateien zurück?******

Zu Entschlüsseln Sie alle Ihre Dateien und Daten, die Sie für die Verschlüsselung bezahlen müssen SCHLÜSSEL:

BTC-Wallet für die Zahlung: *

Betrag (in Bitcoin): 25

****

************Wie viel Zeit haben Sie zu zahlen?***********

* Sie sollten sich innerhalb von 2 Tagen, nachdem Sie die Verschlüsselung bemerkt haben, mit uns in Verbindung setzen, um einen besseren Preis zu erhalten.

* Der Preis würde nach 14 Tagen um 100% (doppelter Preis) erhöht, wenn kein Kontakt hergestellt wird.

* Der Schlüssel würde innerhalb von 21 Tagen vollständig gelöscht, wenn kein Kontakt hergestellt oder kein Geschäft abgeschlossen wurde.

Einige bedeutungsvolle Informationen, die von den Dateiservern gestohlen wurden, würden öffentlich oder auf hochgeladen Wiederverkäufer.

****

***********Was ist, wenn Dateien nicht wiederhergestellt werden können?******

Um zu beweisen, dass wir Ihre Daten wirklich entschlüsseln können, entschlüsseln wir eine Ihrer gesperrten Dateien!

Senden Sie sie einfach an uns und Sie erhalten sie KOSTENLOS zurück.

Der Preis für den Entschlüsseler basiert auf der Netzwerkgröße, der Anzahl der Mitarbeiter und dem Jahresumsatz.

Bitte kontaktieren Sie uns für den zu zahlenden BTC-Betrag.

****

! WENN Sie nicht wissen, wie Sie Bitcoins bekommen, geben wir Ihnen Ratschläge, wie Sie das Geld umtauschen können.

!!!!!!!!!!!!!

! HIER IST DIE EINFACHE ANLEITUNG, WIE SIE UNS KONTAKTIEREN !!

!!!!!!!!!!!!!!!

1) Gehen Sie zur offiziellen Website von TOX Messenger (hxxps://tox.chat/download.html)

2) Laden Sie qTOX herunter und installieren Sie es auf Ihrem PC, wählen Sie die Plattform ( Windows, OS X, Linux usw. )

3) Öffnen Sie den Messenger, klicken Sie auf "Neues Profil" und erstellen Sie ein Profil.

4) Klicken Sie auf die Schaltfläche "Freunde hinzufügen" und suchen Sie unseren Kontakt *

5) Senden Sie zur Identifizierung Daten von —RAGNAR SECRET— an unseren Support ! WENN Sie uns aus irgendwelchen Gründen nicht in qTOX KONTAKTIEREN KÖNNEN, hier ist unser Reservepostfach ( * ) Senden Sie eine Nachricht mit Daten von —RAGNAR SECRET—

WARNUNG!

-Versuchen Sie nicht, Dateien mit Software von Drittanbietern zu entschlüsseln (sie wird dauerhaft beschädigt)

-Installieren Sie Ihr Betriebssystem nicht neu, dies kann zu vollständigem Datenverlust und Dateien führen kann nicht entschlüsselt werden. NIEMALS!

-Ihr GEHEIMSCHLÜSSEL zur Entschlüsselung befindet sich auf unserem Server, wird aber nicht für immer gespeichert. VERSCHWENDE KEINE ZEIT !

********************

—RAGNAR SECRET—

********************

Was macht der Ragnar Locker?

Ragnar Locker wird normalerweise über MSP-Tools wie ConnectWise bereitgestellt, bei denen die Cyberkriminellen eine hochgradig gezielte ausführbare Ransomware-Datei ablegen. Diese Verbreitungstechnik wurde von früheren hochgradig bösartigen Ransomware wie Sodinokibi verwendet. Bei dieser Art von Angriff infiltrieren die Autoren der Ransomware Organisationen oder Einrichtungen über ungesicherte oder schlecht gesicherte RDP-Verbindungen. Anschließend werden Tools verwendet, um Powershell-Skripte an alle zugänglichen Endpunkte zu senden. Die Skripte laden dann über Pastebin eine Nutzlast herunter, die die Ransomware ausführen und die Endpunkte verschlüsseln soll. In einigen Fällen kommt die Nutzlast in Form einer ausführbaren Datei, die als Teil eines dateibasierten Angriffs gestartet wird. Es gibt auch Fälle, in denen zusätzliche Skripte als Teil eines vollständig dateilosen Angriffs heruntergeladen werden.

Ragnar Locker zielt speziell auf Software ab, die häufig von Managed Service Providern ausgeführt wird, einschließlich der folgenden Zeichenfolgen:

vss
sql
memtas
mepocs
sophos
veeam
backup
pulseway
logme
logmein
connectwise
splashtop
kaseya

Die Ransomware stiehlt zuerst die Dateien eines Ziels und lädt sie auf deren Server hoch. Das Besondere an Ragnar Locker ist, dass sie die Dateien nicht nur verschlüsseln, sondern dem Opfer auch drohen, die Daten öffentlich herauszugeben, wenn das Lösegeld nicht bezahlt wurde, wie es etwa bei der EDV der Fall ist. Mit EDP drohten die Angreifer, die vermeintlichen 10 TB an gestohlenen Daten freizugeben, was zu einem der größten Datenlecks der Geschichte werden könnte. Die Angreifer behaupteten, dass alle Partner, Kunden und Konkurrenten über den Verstoß informiert und ihre durchgesickerten Daten an Nachrichten und Medienbilder zum öffentlichen Verbrauch gesendet werden. Obwohl der Sprecher von EDP angekündigt hat, dass der Angriff keine Auswirkungen auf den Stromdienst und die Infrastruktur des Versorgungsunternehmens hatte, sind sie besorgt über die drohende Datenschutzverletzung.

Das Deaktivieren von Diensten und das Beenden von Prozessen sind gängige Taktiken, die von Malware verwendet werden, um Sicherheitsprogramme, Sicherungssysteme, Datenbanken und Mailserver zu deaktivieren. Sobald diese Programme beendet wurden, können ihre Daten verschlüsselt werden.

Beim ersten Start durchsucht Ragnar Locker die konfigurierten Windows-Spracheinstellungen. Wenn die Spracheinstellung Englisch ist, fährt die Malware mit dem nächsten Schritt fort. Aber wenn Ragnar Locker erkannt hat, dass die Sprache auf eines der ehemaligen UdSSR-Länder eingestellt ist, beendet die Malware den Prozess und verschlüsselt den Computer nicht.

Ragnar Locker kompromittiert die Sicherheitstools des MSP, bevor sie blockieren können die Ransomware an der Ausführung. Im Inneren leitet die Malware den Verschlüsselungsprozess ein. Es verwendet einen eingebetteten RSA-2048-Schlüssel, um die wichtigen Dateien zu verschlüsseln.

Ragnar Locker verschlüsselt nicht alle Dateien. Es überspringt einige Ordner, Dateinamen und Erweiterungen, wie zum Beispiel:

kernel32.dll
Windows
Windows.old
Tor-Browser
Internet Explorer
Google
Opera
Opera-Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
Alle Benutzer
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Abgesehen vom Anhängen eine neue Dateierweiterung zu den verschlüsselten Dateien, fügt Ragnar Locker auch eine 'RAGNAR'-Dateimarkierung am Ende jeder verschlüsselten Datei hinzu.

Ragnar Locker hinterlässt dann eine Lösegeldnachricht namens '.RGNR_[Erweiterung].txt' mit Details zum Lösegeldbetrag, der Bitcoin-Zahlungsadresse, einer TOX-Chat-ID, die für die Kommunikation mit den Angreifern verwendet wird, und einer Backup-E-Mail-Adresse wenn es Probleme mit TOX gibt. Im Gegensatz zu anderer Ransomware hat Ragnar Locker kein festes Lösegeld. Sie variiert je nach Ziel und wird individuell berechnet. In einigen Berichten könnte die Höhe des Lösegelds zwischen 200.000 und 600.000 Dollar liegen. Im Fall von EDP betrug das Lösegeld 1.580 Bitcoin oder 11 Millionen US-Dollar.

So entfernen Sie Ragnar Locker

Wenn Ihr Computer Pech hatte, mit Ragnar Locker infiziert zu werden, müssen Sie als erstes überprüfen wenn alle Ihre Dateien verschlüsselt wurden. Sie müssen auch überprüfen, ob Ihre Sicherungsdateien ebenfalls verschlüsselt wurden. Angriffe wie diese unterstreichen die Bedeutung einer Sicherung Ihrer wichtigen Daten, da Sie sich zumindest keine Sorgen machen müssen, den Zugriff auf Ihre Dateien zu verlieren.

Versuchen Sie nicht, das Lösegeld zu zahlen, da es nutzlos ist. Es gibt keine Garantie dafür, dass der Angreifer Ihnen den richtigen Entschlüsselungsschlüssel sendet und dass Ihre Dateien niemals an die Öffentlichkeit gelangen. Tatsächlich ist es sehr wahrscheinlich, dass die Angreifer weiterhin Geld von Ihnen erpressen, weil sie wissen, dass Sie bereit sind zu zahlen.

Sie können die Ransomware zuerst von Ihrem Computer löschen, bevor Sie versuchen, sie zu entschlüsseln es. Sie können Ihre Antivirus- oder Anti-Malware-App verwenden, um Ihren Computer auf Malware zu scannen und den Anweisungen zum Löschen aller erkannten Bedrohungen zu folgen. Deinstallieren Sie als Nächstes alle verdächtigen Apps oder Erweiterungen, die mit der Malware in Verbindung stehen könnten.

Suchen Sie schließlich nach einem Entschlüsselungstool, das zum Ragnar Locker passt. Es gibt mehrere Entschlüsseler, die für Dateien entwickelt wurden, die durch Ransomware verschlüsselt wurden, aber Sie sollten zuerst Ihren Sicherheitssoftwarehersteller überprüfen, falls dieser verfügbar ist. Avast und Kaspersky verfügen beispielsweise über ein eigenes Entschlüsselungstool, das Benutzer verwenden können. Hier ist eine Liste anderer Entschlüsselungstools, die Sie ausprobieren können.

So schützen Sie sich vor dem Ragnar Locker

Ransomware kann ziemlich mühsam sein, insbesondere wenn kein Entschlüsselungstool vorhanden ist, das die Verschlüsselung durch die Malware rückgängig machen kann . Um Ihr Gerät vor Ransomware, insbesondere Ragnar Locker, zu schützen, sind hier einige der Tipps, die Sie beachten sollten:

Verwenden Sie eine stronge Passwortrichtlinie mit einer Doppel- oder Multi-Faktor-Authentifizierung (MFA) wenn möglich. Wenn dies nicht möglich ist, generieren Sie zufällige, einzigartige Passwörter, die schwer zu erraten sind.
Vergewissern Sie sich, dass Sie Ihren Computer sperren, wenn Sie Ihren Schreibtisch verlassen. Ob Sie zum Mittagessen ausgehen, eine kurze Pause machen oder einfach nur auf die Toilette gehen, sperren Sie Ihren Computer, um unbefugten Zugriff zu verhindern.
Erstellen Sie einen Datensicherungs- und Wiederherstellungsplan, insbesondere für wichtige Informationen auf Ihrem Computer. Speichern Sie die wichtigsten Informationen, die außerhalb des Netzwerks oder nach Möglichkeit auf einem externen Gerät gespeichert sind. Testen Sie diese Backups regelmäßig, um sicherzustellen, dass sie im Ernstfall richtig funktionieren.
Sorgen Sie dafür, dass Ihre Systeme aktualisiert und mit den neuesten Sicherheitspatches installiert werden. Ransomware nutzt in der Regel Sicherheitslücken in Ihrem System aus. Stellen Sie daher sicher, dass die Sicherheit Ihres Geräts lückenlos ist.
Seien Sie vorsichtig bei den gängigen Vektoren für Phishing, der häufigsten Verbreitungsmethode von Ransomware. Klicken Sie nicht auf zufällige Links und scannen Sie E-Mail-Anhänge immer, bevor Sie sie auf Ihren Computer herunterladen.
Lass eine robuste Sicherheitssoftware auf deinem Gerät installieren und halte die Datenbank mit den neuesten Bedrohungen auf dem Laufenden.

YouTube-Video.: Umgang mit der Ragnar Locker Ransomware

05, 2024

Umgang mit der Ragnar Locker Ransomware (05.20.24)

YouTube-Video.: Umgang mit der Ragnar Locker Ransomware

Artikel

So verwenden Sie Google Now on Tap auf Android

So beheben Sie den Roblox-Fehlercode 260

5 Spiele wie Idle Heroes (Alternativen zu Idle Heroes)

Bester Sand Wedge für jede Tour im Golf Clash

3 beste Alternative zu nicht genügend Artikeln, die Sie verwenden können

Neueste Artikel

Top 5 Spiele wie Glory (Alternativen zu Glory)

Worgen-Druide gegen Nachtelfen-Druide – welcher?

3 Möglichkeiten, um zu beheben, dass sich Razer Naga nicht mehr zufällig bewegt

2 Möglichkeiten, das Problem mit der automatischen Abschaltung des Corsair-Headsets zu lösen

So stellen Sie den PC mit Ihrem Android-Gerät wieder her