Im Juli dieses Jahres tauchte die Ransomware HavanaCrypt in der Cyberwelt auf. Sie hat Angriffe mit einer interessanten Wendung durchgeführt. HavanaCrypt tarnt sich als Google-Software-Update, um virtuelle Maschinen zu verschlüsseln.
Die Ransomware ist in der Sprache .NET geschrieben und verwendet einen OpenSource-Obfuscator namens Obfuscate, um die Namen der in der Ransomware verwendeten Funktionen zu verbergen.
Die Gruppe, die hinter der Ransomware steckt, hat es geschafft, Anti-Analyse-Mechanismen zu implementieren, so dass sie für Benutzer und Sicherheitsprogramme praktisch unsichtbar ist.
Der genaue Einschleusungsort in das System des Opfers ist noch nicht bekannt. Forscher vermuten, dass es durch E-Mail-Kampagnen oder den unfreiwilligen Download von Software, die die Malware enthält, geschehen könnte.
Klar ist, dass die Informationen in der bösartigen ausführbaren Datei so verändert wurden, dass sie den Eindruck erwecken, der Autor sei Google und der Name des Programms sei Google Software Update.
Wir wissen, dass die Schöpfer von HavanaCrypt große Anstrengungen unternommen haben, um sicherzustellen, dass statische, automatische Sicherheitsanalysen keine Malware entdecken. Sie verwenden Sicherheitsprüfungen, bevor sie die Verschlüsselung durchführen.
Fällt die Prüfung negativ aus, wird die Malware nicht ausgeführt. Bei einem positiven Ergebnis wird von der Ransomware eine .txt-Datei von einer IP-Adresse heruntergeladen, die mit den Webhosting-Diensten von Microsoft verbunden ist. Bei dieser Datei handelt es sich um ein Skript, das bestimmte Ordner zur Ausschlussliste von Windows Defender hinzufügt.
Die Ransomware sammelt dann Informationen über den infizierten Computer und exfiltriert die infizierten Daten, die dann an einen Command-and-Control-Server (C2) gesendet werden, der ein eindeutiges Identifikations-Token zuweist und eindeutige Verschlüsselungsschlüssel generiert.
Der Virus durchsucht das System nach allen Dateien, Ordnern, Laufwerken und Datenträgern und fügt die Erweiterung .Havana zu allen verschlüsselten Dateien hinzu. Die Dateien werden dann für den Benutzer unzugänglich.
Im Gegensatz zu anderer Ransomware werden bei HavanaCrypt keine Lösegeldforderungen gestellt. Dies lässt vermuten, dass HavanaCrypt Ransomware andere Mittel verwendet, um seine Gewinne zu erzielen.
Wiederherstellung von Dateien, die von HavanaCrypt ransomware verschlüsselt wurden
Heute können Sie sich bei der Wiederherstellung verschlüsselter Daten auf qualifizierte Unternehmen verlassen. Eines davon ist Digital Recovery.
Digital Recovery ist seit mehr als 23 Jahren auf dem Datenrettungsmarkt tätig und hat in dieser Zeit Erfahrungen gesammelt und für viele Unternehmen beispiellose Lösungen entwickelt.
Angesichts der wachsenden Zahl von Ransomware-Angriffen auf der ganzen Welt hat unser Entwicklungsteam eine Lösung untersucht, analysiert und entwickelt, die es uns ermöglicht, durch Ransomware verschlüsselte Daten auf jedem Speichergerät wiederherzustellen.
Diese Lösung mit dem Namen Tracer wurde auf der Grundlage der Sicherheit der Daten unserer Kunden entwickelt. Für jedes unserer Projekte wird eine Vertraulichkeitsvereinbarung (NDA) abgeschlossen.
Wir können in jedem Land der Welt aus der Ferne operieren. Nach einer fortgeschrittenen Diagnose können wir die Möglichkeit der Genesung bestimmen.
Nehmen Sie Kontakt mit uns auf! Unser mehrsprachiges Team ist 24 Stunden am Tag, 7 Tage die Woche für Sie da, um Sie bestmöglich zu unterstützen.
