Snake Ransomware wurde von MalwareHunterTeam letzte Woche entdeckt, die es mit Vitali Kremez gemeinsamen Reverse Engineering und mehr über die Infektion erfahren.
Eine neue Ransomware wurde vor kurzem entdeckt, durch MalwareHunterTeam Forscher. Synchronisiert Snake Ransomware, die Bedrohung wurde Reverse Engineering von Vitali Kremez. Dank ihm, Mehr Details sind verfügbar über Snake, das ist eine gezielte Art von Ransomware betrachtet Einsatz gegen Organisationen und Unternehmen.
Threat Zusammenfassung
| Name | Snake Ransomware |
| Dateierweiterung | Ein 5-stellige Zeichenfolge zu jeder Erweiterung der Datei. |
| Art | Ransomware, Cryptovirus |
| Was ist es | Ein Erpresser, der gezielt Netzwerke von Organisationen. |
| Symptome | Bestimmte Dateien sind verschlüsselt. In jeder verschlüsselten Datei, die Ekans Datei Marker hinzugefügt werden. |
| Lösegeldforderung | Fix-Your-files.txt |
| Verteilungsmethode | Zur Zeit nicht bekannt |
| Entfernung | Um effektiv zu entfernen aktiv Snake Ransomware Virusinfektionen, empfehlen wir, dass Sie eine erweiterte Anti-Malware-Tool verwenden. Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen Snake Ransomware. |
| Data Recovery-Tool | Windows Data Recovery von Stellar Phoenix Beachten! Dieses Produkt scannt Ihr Laufwerk Sektoren verlorene Dateien wiederherzustellen, und es kann sich nicht erholen 100% der verschlüsselten Dateien, aber nur wenige von ihnen, je nach Situation und ob Sie das Laufwerk neu formatiert haben. |
Neue Informationen über die Schlange Ransomware wurde in diesem Monat verfügbar. Laut einer neuen Analyse von Proben, die in diesem Monat veröffentlicht wurde (Januar 2020) Detailliertere Informationen über die Ziele und die durch den Motor ausgestellt Verhalten. Die neuesten Versionen der Ransomware sind stark verschleiert und scheinen speziell entwickelt werden ganze Netzwerke herunterzunehmen, anstatt einzelne Computer. Die Dateien, die als Snake erkannt werden Ransom Proben erscheinen gegen zu konfigurierenden Industrieanlagen.
Die Schlange Virus enthält nun mehrere erweiterte Funktionen, die ausgelöst wird, sobald ein Host infiziert ist. Unter ihnen sind die folgenden Funktionen:
- Datenlöschung - Die Schlange Ransomware gefunden löschen gefunden wurde jeden Schatten Volume-Kopien von Dateien auf dem verseuchten Computer gefunden. Dadurch wird die Datenwiederherstellung viel schwieriger machen und einige Wiederherstellungsvorgänge behindern.
- Prozesssteuerung - Der Motor Snake-Virus in der Lage, für die laufenden Prozesse der Software zu scannen, die die Ransomware blockieren können - virtuelle Maschinen, Zugangssysteme, Fernbedienung Tools, Netzwerk Management, Anti-Viren-Software und usw..
- Sabotage - Wichtige SCADA-Systeme und andere industrielle Steuerungssoftware werden gestoppt vom Laufen. Wenn dieser Schritt in einer Arbeitsproduktionsumgebung ausgeführt wird dies kann ein großes Gesamt Problem in der Fabrik führen, die als industrielle Sabotage bezeichnet werden können.
- Encryption Control - Während der Ransomware Verschlüsselungsprozess haben die Analysten festgestellt, dass die Engine-Dateien, die mit dem Betriebssystem gehören überspringen wird. Dies ist beabsichtigt, um nicht zu verderben die Laufsysteme. Dadurch wird sichergestellt, dass der richtige Schaden entsteht und dass die Opfer User werden aable die gepostete Lösegeld Nachricht zu überprüfen.
Weitere Untersuchungen in die Hacker-Gruppe hinter der Schlange Ransomware zeigen, dass die Verbrecher als auch hinter anderen gefährlichen Angriffen sein können. Von besonderer Bedeutung ist die Möglichkeit, dass sie einen Angriff mit einer Festplatte gestartet hat Wischer genannt ZeroCleare in der Vergangenheit. Dies war eine sehr anspruchsvoll und verheerend geplante Operation gegen Industrie- und Energieorganisationen im Nahen Osten.
Weitere Informationen über die Bedrohung wurde auf Januar 13 wenn ein anderer detaillierter Bericht über die Snake Ransomware wurde veröffentlicht. Der gefährlichste Aspekt über diese besondere Gefahr ist, dass die Opfer-Dateien werden mit einer zufälligen Eingang Chiffre verschlüsselt werden - dies bedeutet, dass die Daten nicht mit einem einzigen Algorithmus verarbeitet werden,. Die Art und Weise dies geschieht, ist, dass der Hauptmotor der ursprünglichen Dateinamen und Verzeichnisse aufnehmen, die als Parameter verwendet werden. Ein spezieller String ist ebenfalls enthalten - Public-Key-Verschlüsselung durch die Snake Ransomware verwendet wird,.
Marker werden in den Dateien hinzugefügt als Erweiterungen - zufällige Sätze von Zeichenkombinationen als Dateierweiterungen platziert. Der Erpresserbrief von der aktuellen Version des Virus erzeugt wird aufgerufen *Fix-Your-files.txt das beginnt mit der Zeile Was ist aus Ihrer Dateien?.
Snake Ransomware – Technische Analyse
Kremez Analyse zeigt, dass die Ransomware in der Sprache Golang geschrieben, und dass es sehr verschleiert.
Die Höhe der Routine Verschleierung ist viel höher als das, was in der Regel in Ransomware in gezielten Angriffen zum Einsatz zu sehen ist.
Wenn die Ransomware Infektion Snake eingeleitet, Schatten Volume-Kopien aus dem System entfernt werden.
Dann, verschiedene Prozesse im Zusammenhang mit SCADA-Systemen, virtuelle Maschinen, industrielle Steuerungssysteme, Remote-Management-Tools und Netzwerk-Management-Tools werden getötet.
Nachdem diese beiden Stufen abgeschlossen, die Ransomware wird mit Datenverschlüsselung weiter, aber es wird sich Dateien in Windows-Systemordner überspringen und einige Systemdateien, sowie:
windir
Systemdrive
:\$Recycle.Bin
:\Program
:\Benutzer All Users
:\Programme
:\Lokale Einstellungen
:\Kofferraum
:\System Volume Information
:\Erholung
\Anwendungsdaten
Bei der Verschlüsselung, die Schlange Ransomware wird eine 5-stellige Zeichenfolge zu jeder Dateierweiterung anhängen. Infolge, eine Datei mit dem Namen file.doc wird wie folgt nach der Verschlüsselung finden - file.docknfgT (denken, ist ein zufälliges Beispiel).
In jeder verschlüsselten Datei, die Ekans Datei Marker hinzugefügt werden. Es ist merkwürdig, zu beachten, dass Ekans SNAKE in umgekehrter Reihenfolge geschrieben.
Die Forscher sagen, dass die Ransomware dauert länger als gewöhnlich gezielt Daten zu verschlüsseln. Jedoch, da dies eine gezielte Bedrohung, die ausgeführt wird, wenn der Angreifer entscheidet, die Zeit wird sicherlich nicht viel ein Problem sein.
Sobald der Verschlüsselungsprozess abgeschlossen, Snake wird ein Erpresserbrief erstellen in C:\Benutzer Öffentlich Desktop, und es wird aufgerufen, Fix-Your-files.txt. Der Erpresserbrief enthält in der Regel Anweisungen zum Kontakt Cyber-Kriminellen für Zahlungsanweisungen. Die E-Mail für den Kontakt vorgesehen ist bapcocrypt@ctemplar.com aber die E-Mail kann in zukünftigen Versionen der Ransomware ändern.
Dies ist, was der Erpresserbrief aussieht:
Hier ist, was die Note sagt (Teile davon):
Was ist aus Ihrer Dateien?
Wir verletzt Ihr Firmennetzwerk und verschlüsselt die Daten auf Ihrem Computer. Die verschlüsselten Daten enthalten Dokumente, Datenbanken, Fotos und mehr -
Alle wurden verschlüsselt, um eine militärischen Grad-Verschlüsselung Algorithmen (AES-256 und RSA-2048). Sie können diese Dateien nicht direkt zugreifen jetzt. Aber keine Sorge!
Sie können immer noch die Dateien zurück und werden wieder läuft in kürzester Zeit.
So erreichen Sie uns, um Ihre Dateien zurück?
Die einzige Möglichkeit, Ihre Dateien wiederherzustellen, ist durch ein Entschlüsselungswerkzeug mit einem privaten Schlüssel geladen Kauft wir speziell für Ihr Netzwerk erstellt.
Entfernen Snake Ransomware
Bezüglich Datei-Entschlüsselungs, zur Zeit, gibt es keine Informationen, ob Dateien von Snake verschlüsselt wurden, können ohne die Angreifer entschlüsselt werden Ransomware’ Entschlüsselungsschlüssel. Von den Blicken von ihm, die Ransomware der Verschlüsselung ist unschlagbar, obwohl.
Obwohl im Moment Snake Ransomware zielt auf Organisationen, groß angelegte Kampagnen gegen einzelne Personen können auch gestartet werden. Wenn Ihr die Ransomware-Infektion Symptome ähneln Snake Ransomware Verhalten, Sie können versuchen, die Ransomware mit den Anweisungen Entfernen unten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: