Rajah Ransomware fordert Bitcoin-Lösegeld

Bei der Analyse neuer Dateieinsendungen stieß unser Forschungsteam auf die Ransomware Rajah, ein Schadprogramm aus der Makop-Ransomware-Familie. Diese spezielle Art von Malware wurde mit dem Ziel entwickelt, Daten zu verschlüsseln und im Gegenzug für die Entschlüsselung eine Zahlung zu erpressen.

Beim Testen der Rajah-Ransomware auf unserem System stellten wir fest, dass sie Dateien verschlüsselt und ihre Titel ändert, indem sie jedem Opfer eine eindeutige ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.rajah“ anhängt. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.[2AF20FA3].[rajah@airmail.cc].rajah umgewandelt werden. Darüber hinaus erstellt die Ransomware einen Erpresserbrief mit der Bezeichnung „+README-WARNING+.txt“.

Der Lösegeldschein dient als Zahlungsaufforderung und betont, dass die Dateien des Opfers verschlüsselt seien und nur von den Angreifern wiederhergestellt werden könnten. Es wird ausdrücklich vor dem Versuch gewarnt, Antivirensoftware oder Wiederherstellungstools von Drittanbietern zu verwenden, da solche Aktionen die Dateien dauerhaft unentschlüsselbar machen würden, was zu einem irreversiblen Datenverlust führen würde. Das Opfer wird darüber informiert, dass für den Entschlüsselungsprozess die Zahlung eines Lösegelds in der Kryptowährung Bitcoin erforderlich ist, wobei der konkrete Betrag nicht angegeben wird.

In der Lösegeldforderung von Rajah ist kein spezifisches BTC-Lösegeld aufgeführt

Der vollständige Text der Rajah-Lösegeldforderung lautet wie folgt:

XXX Ihre Daten wurden verschlüsselt XXX

Um Ihre Daten wiederherzustellen, schreiben Sie an rajah@airmail.cc

BITTE LESEN SIE DEN UNTENSTEHENDEN TEXT SEHR SORGFÄLTIG DURCH!!!

1. Niemand außer uns wird Ihre Daten zurückgeben (vertrauen Sie Dritten nicht)
2. Antiviren- und Wiederherstellungsprogramme beschädigen Ihre Daten dauerhaft (selbst wir können sie nicht wiederherstellen!)
3. Die Zahlung für die Wiederherstellung Ihrer Daten erfolgt in BITCOIN (BTC)!!! NUR BITCOIN!!!
4. Sie können BITCOIN (BTC) auf der Website hxxps://www.binance.com/en kaufen (Führen Sie eine einfache Registrierung gemäß den Anweisungen auf der Website durch und kaufen Sie dann BITCOIN (BTC))

Wenn Sie den obigen Text gelesen haben und Ihre Daten benötigen, ist es an der Zeit, uns zu schreiben.

Wie kann Ransomware wie Rajah in Ihr System gelangen?

Es gibt mehrere gängige Wege, über die Ransomware wie Rajah in Ihr System eindringen kann:

• Phishing-E-Mails: Cyberkriminelle verbreiten Ransomware häufig über Phishing-E-Mails. Sie erstellen E-Mails, die legitim erscheinen und die Empfänger dazu verleiten, auf schädliche Links zu klicken oder infizierte Anhänge herunterzuladen. Nach dem Öffnen erhält die Malware Zugriff auf das System und beginnt mit der Verschlüsselung von Dateien.
• Bösartige Downloads: Ransomware kann mit scheinbar harmlosen Downloads von nicht vertrauenswürdigen Websites gebündelt oder als legitime Software-Updates getarnt werden. Wenn Benutzer diese schädlichen Dateien unwissentlich herunterladen und ausführen, übernimmt die Ransomware die Kontrolle über das System.
• Ausnutzung von Software-Schwachstellen: Cyberkriminelle nutzen Schwachstellen in Betriebssystemen, Softwareprogrammen oder Plugins aus, um Ransomware zu verbreiten. Wenn Ihr System nicht über die neuesten Sicherheitspatches verfügt, wird es anfälliger für solche Angriffe.
• Drive-by-Downloads: Der Besuch kompromittierter oder bösartiger Websites kann zu Drive-by-Downloads führen, bei denen Malware ohne Benutzerinteraktion automatisch heruntergeladen und installiert wird. Dies kann durch Exploit-Kits geschehen, die auf Schwachstellen in Webbrowsern oder Plugins abzielen.
• Infizierte externe Geräte: Ransomware kann sich über infizierte externe Geräte wie USB-Laufwerke oder externe Festplatten verbreiten. Wenn diese Geräte mit Ihrem System verbunden sind, kann die Malware ihren Verschlüsselungsprozess einleiten.