Im Juli dieses Jahres tauchte die Ransomware HavanaCrypt in der Cyberwelt auf. Sie hat Angriffe mit einer interessanten Wendung durchgeführt. HavanaCrypt tarnt sich als Software-Update von Google, um virtuelle Maschinen zu verschlüsseln.
Die Ransomware ist in der .NET-Sprache geschrieben und verwendet einen OpenSource-Obfuscator namens Obfuscate, um die in der Ransomware verwendeten Funktionsnamen zu verbergen.
Die Gruppe, die hinter der Ransomware steckt, hat es geschafft, Anti-Analyse-Mechanismen zu implementieren, so dass sie für die Augen von Benutzern und Sicherheitsprogrammen praktisch unsichtbar ist.
Der genaue Einschleusungsort auf dem System des Opfers ist noch nicht bekannt. Die Forscher halten es für möglich, dass es durch E-Mail-Kampagnen oder das unbeabsichtigte Herunterladen von Software, die die Malware enthält, geschehen ist.
Fest steht, dass die Informationen in der bösartigen ausführbaren Datei so geändert wurden, dass der Autor Google ist und der Name des Programms Google Software Update lautet.
Wir wissen, dass die Erschaffer von HavanaCrypt große Anstrengungen unternommen haben, um sicherzustellen, dass statische und automatische Sicherheitsscans die Malware nicht erkennen. Sie verwenden Sicherheitsprüfungen, bevor sie die Verschlüsselung ausführen.
Fällt die Prüfung negativ aus, wird die Malware nicht ausgeführt. Fällt die Prüfung positiv aus, lädt die Ransomware eine .txt-Datei von einer IP-Adresse herunter, die mit Microsoft-Webhosting-Diensten verbunden ist. Bei dieser Datei handelt es sich um ein Skript, das bestimmte Ordner zur Ausschlussliste von Windows Defender hinzufügt.
Die Ransomware sammelt dann Informationen über den infizierten Computer und exfiltriert die infizierten Daten, die dann an einen Command-and-Control-Server (C2) gesendet werden, der ein eindeutiges Identifikations-Token zuweist und eindeutige Verschlüsselungsschlüssel generiert.
Der Virus durchsucht das System nach allen Dateien, Ordnern, Laufwerken und Festplatten und fügt allen verschlüsselten Dateien die Erweiterung .Havana hinzu. Die Dateien sind dann für den Benutzer unzugänglich.
Im Gegensatz zu anderer Ransomware stellt HavanaCrypt keine Lösegeldforderungen. Das lässt vermuten, dass HavanaCrypt ransomware einen anderen Weg nutzt, um seine Einnahmen zu generieren.
Wiederherstellung von Dateien, die von HavanaCrypt ransomware verschlüsselt wurden
Heute können Sie sich auf qualifizierte Unternehmen für die Wiederherstellung verschlüsselter Daten verlassen. Eines davon ist Digital Recovery.
Digital Recovery ist seit über 23 Jahren auf dem Markt für Datenrettung tätig und hat in dieser Zeit Erfahrungen gesammelt und beispiellose Lösungen für viele Unternehmen entwickelt.
Angesichts der wachsenden Zahl von Ransomware-Angriffen auf der ganzen Welt hat unser Entwicklungsteam eine Lösung untersucht, genau analysiert und entwickelt, die es uns ermöglicht, mit Ransomware verschlüsselte Dateien auf jedem beliebigen Speichergerät wiederherzustellen.
Diese Lösung mit dem Namen Tracer wurde im Hinblick auf die Sicherheit der Daten unserer Kunden entwickelt. Für jedes unserer Projekte wird eine Vertraulichkeitsvereinbarung (NDA) abgeschlossen.
Wir sind in der Lage, in jedem Land der Welt aus der Ferne zu arbeiten. Nach einer fortgeschrittenen Diagnose können wir die Möglichkeit der Wiederherstellung bestimmen.
Setzen Sie sich mit uns in Verbindung! Unser mehrsprachiges Team steht Ihnen rund um die Uhr zur Verfügung und ist bemüht, Sie bestmöglich zu unterstützen.
