Capibara Ransomware sperrt infizierte Computer

Bei der Überprüfung neuer Dateibeispiele entdeckte unser Forschungsteam die Capibara-Ransomware. Diese Schadsoftware funktioniert, indem sie Dateien verschlüsselt, um Lösegeldzahlungen zu fordern.

Nachdem wir eine Probe dieser Malware erhalten hatten, führten wir sie auf unserem Testsystem aus. Wir beobachteten, dass die Dateinamen der von dieser Ransomware verschlüsselten Dateien mit der Erweiterung „.capibara“ geändert wurden. Beispielsweise würde eine Datei mit dem Namen „1.jpg“ als „1.jpg.capibara“ und „2.png“ als „2.png.capibara“ angezeigt und so weiter.

Nach Abschluss des Verschlüsselungsprozesses änderte Capibara den Desktop-Hintergrund und generierte eine Textdatei namens „READ_ME_USER.txt“, die eine Lösegeldforderung in russischer Sprache enthielt. Die Nachricht teilt dem Opfer mit, dass seine Dateien verschlüsselt wurden und nun nicht mehr lesbar sind, und betont, dass eine Wiederherstellung ohne das Eingreifen der Angreifer unmöglich ist.

Das Opfer wird angewiesen, ein Entschlüsselungstool für 5.000 russische Rubel in Bitcoin zu kaufen. Der in Bitcoins angegebene Lösegeldbetrag – 0,073766 BTC – entspricht jedoch angesichts der anhaltenden Kursschwankungen nicht dem Rubelbetrag zum aktuellen Wechselkurs.

Capibara-Lösegeldforderung nur auf Russisch verfügbar

Der vollständige Text des Capibara-Lösegeldbriefs lautet wie folgt:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Wie kann Ransomware Ihren Heimcomputer infizieren?

Ransomware kann Ihren Heimcomputer auf verschiedene Weise infizieren, unter anderem:

Phishing-E-Mails: Angreifer senden betrügerische E-Mails mit schädlichen Links oder Anhängen. Wenn Sie auf diese Links klicken oder infizierte Anhänge öffnen, kann Ransomware heruntergeladen und auf Ihrem Computer installiert werden.

Schädliche Websites: Durch den Besuch kompromittierter oder bösartiger Websites kann Ihr Computer dem Risiko von Drive-by-Downloads ausgesetzt sein, bei denen ohne Ihr Wissen automatisch Ransomware heruntergeladen und installiert wird.

Software-Schwachstellen: Veraltete Software, insbesondere Betriebssysteme und Anwendungen, können Sicherheitslücken aufweisen, die Ransomware ausnutzt, um Zugriff auf Ihren Computer zu erhalten.

Unsicheres Remote Desktop Protocol (RDP): Wenn Sie RDP für die Remote-Verbindung mit Ihrem Heimcomputer verwenden und dieser nicht ausreichend geschützt ist (z. B. durch die Verwendung schwacher Passwörter), können Angreifer dies ausnutzen, um Zugriff zu erhalten und Ransomware zu installieren.

Infizierte USB-Laufwerke: Durch das Anschließen infizierter USB-Laufwerke oder anderer externer Speichergeräte kann Ransomware auf Ihren Computer gelangen.

Freeware oder Raubkopien: Das Herunterladen von Software aus nicht vertrauenswürdigen Quellen oder die Verwendung von Raubkopien erhöht das Risiko, gleichzeitig auch Ransomware herunterzuladen.

Ausnutzen von Netzwerkschwachstellen: Ransomware kann sich über ein Heimnetzwerk verbreiten, wenn ein Computer infiziert wird und die Malware Zugriff auf freigegebene Laufwerke oder andere mit dem Netzwerk verbundene Geräte erhält.