KRIPTOKI / SCHLÜSSELANHÄNGER / LOKMANN / CRYPTOFAG :
Was sind sie?
​
LINK: Häufig gestellte Fragen und Antworten zu Mobef- und KEYCHAIN-Infektionen
Geschichte von Mobef:
​
Mobef, chiamato anche KRIPTOKI KEYCHAIN LOKMANN o CRYPTOFAG a causa del file che lascia sulla macchina infetta è una versione recente e molto aggressive di ransomware / Malware .
​
Nach ihrer Infiltration werden die Dateien verschlüsselt, aber die Dateierweiterung wird nicht geändert.
Beispielsweise bleibt eine mit Mobef/LOKMANN infizierte Datei „sample.jpg“ „sampe.jpg“.
Der Desktop-Hintergrund wird geändert und es werden zwei Dateien erstellt: „LOKMANN.KEY993“ und „HELLO.0MG“ oder „HACKED.OPENME“ und „KEY2017.KEEPME“ bzw wieder "PLEASE.OPENME" und "KEYCHAIN.SAVEME" oder "KRIPTOKI.DONOTDELETE" und "PLEASEREAD.THISMSG".
​
​
​
​
​
​
Sobald die infizierte Datei heruntergeladen wurde, scannt der Virus das System und verschlüsselt fast alle Daten, auf die er trifft.
​
Es zielt auf Dateien mit den folgenden Erweiterungen ab:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
​
KRIPTOKI CRYPTOFAG KEYCHAIN und LOKMANN sind praktisch identisch mit Dutzenden anderer Ransomware-Viren wie CTB-Locker, CryptoWall, Locky und CryptoLocker. Sie verschlüsseln Dateien und verlangen Bitcoins im Austausch für einen Entschlüsselungsschlüssel. Dateien werden oft mit asymmetrischer Verschlüsselung verschlüsselt (symmetrisch wird von Low-End-Ransomware verwendet), und daher besteht der einzige Unterschied in der Höhe des Lösegelds.
​
​
​
​
​
​
​
​
Wie werden Kriptoki/Keychain/Cryptofag/Mobef/LOKMANN verteilt?
​
In den meisten Fällen handelt es sich um spread über direkte Angriffe auf den RDP-Port, auf Maschinen und Server, die eines der folgenden Betriebssysteme verwenden:
​
Windows Server 2003 (April 2003)
Windows Server 2003 R2 (Dezember 2005)
Windows Server 2008 (Februar 2008)
Windows Server 2008 R2 (Juli 2009)
Windows Server 2012 (August 2012)
Windows Server 2012 R2 (Oktober 2013)
Windows Server 2016 (September 2016)
​
Sie werden auch über infizierte E-Mails, kompromittierte Word-Dateien, Javascript und Facebook-Bild-Spam verbreitet.
​
​
​
​
​
​
So entschlüsseln Sie von KRIPTOKI verschlüsselte DateienSCHLÜSSELANHÄNGER/CRYPTOFAG/LOKMANN?
Können Sie meine Daten wiederherstellen?
​
Ja, wir können alle Ihre Dateien wiederherstellen!!
​
Schreiben Sie uns eine E-Mail aninfo@eliminacryptolocker.com Anhängen verschlüsselter Dateien und möglicherweise Ihrer Telefonnummer; Wir werden Ihnen so schnell wie möglich antworten!
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
​
FAQ: Häufige Fragen und Antworten zu Mobef-Infektionen, die von unseren Kunden gemeldet wurden:
​
​
Mein RDP-Passwort war sehr sicher, wie haben sie es gefunden?
​
Leider gibt es selbst mit einem Passwort aus 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen effektiven Schutz , da auf dem RDP-Port Exploits verwendet werden, die effektiv eine Umgehung des Passworts ermöglichen.
​
​
Das Administratorkonto wurde deaktiviert, was ist passiert?
​
Häufig wird das „Administrator“-Konto aus Sicherheitsgründen deaktiviert, obwohl der gesamte Verschlüsselungsprozess von diesem Konto aus stattgefunden hat, wie war das möglich?
All dies geschieht durch eine „Privilegieneskalation“, d.h. Sie verbinden sich über einen „normalen“ Benutzer, die Privilegien dieses Benutzers werden erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, mit dem Sie sich später verbinden, um die Verschlüsselung durchzuführen._cc781905-5cde -3194-bb3b-136bad5cf58d_
​
​
Ich hatte die Verbindungen eingeschränkt, die auf den RDP-Dienst zugreifen konnten. Wie haben sie sich verbunden?
​
Gibt es in Ihrem Netzwerk "offene" Clients im Internet? Auch wenn Ihr Server die Verbindungen beschränkt, von denen aus auf ihn zugegriffen werden kann (über Firewall, VPN, IP-Filter, Whitelisting usw.), wird die Verbindung über das RDP des mit dem Internet verbundenen Clients hergestellt.
Sobald Sie die Kontrolle über diesen Client übernommen haben, verbinden Sie sich über ihn mit dem Server im internen Netzwerk, wodurch das Filtern aller externen IPs effektiv nutzlos wird.
​
​
Der RDP-Dienstport war nicht der Standardport, wie haben sie den Dienst gefunden?
​
Die Standardports für den RDP-Dienst sind 445 und 3389, aber ich hatte den Dienst auf Port 5555 eingestellt, wie haben sie ihn gefunden? Einfach mit einem Netzwerkscanner, der alle Ports von 1 bis 65000​ auf der Suche nach dem RDP-Dienst analysiert.
​
​
Was kann ich also tun, um mich vor zukünftigen KRIPTOKI/KEYCHAIN/CRYPTOFAG-Angriffen zu schützen?​
​
Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​
- Schließen Sie sofort den Dienst RDP auf allen lokalen und Remote-Computern
- Installieren Sie unser Ransomware-Schutzskript, weitere Informationen HIER
​
​
Wo sind meine Backups geblieben? E virtuelle Maschinen?​
​
Nach der Mobef-Infektion werden die .backup-Dateien gelöscht und oft auch alle virtuellen Maschinen (VMware, Oracle VM VirtualBox etc.), die gestartet und anschließend gelöscht oder verschlüsselt werden._d04a07d8-9cd1-3239-9149 -20813d6c673b_
​
​
Haben Sie weitere Fragen oder benötigen Sie weitere Informationen?​
Schreiben Sie uns an info@recuperafiles.it und wir werden versuchen, alle Ihre Zweifel zu klären.
​
​
​
Beispiel für Dateien, die KRIPTOKI auf dem infizierten Computer hinterlassen hat ( PLEASEREAD.THISMSG und KRIPTOKI.DONOTDELETE )
Beispiel für Dateien, die von LOKMANN auf dem infizierten Computer hinterlassen wurden
Beispiel für von CRYPTOFAG hinterlassene Dateienauf dem infizierten Rechner
File di testo di KRIPTOKI.DONOTDELETE dove viene chiesto un contatto agli indirizzi:
Löschen
Kryptoschränke
Riegel
Phobos
Globus-Betrüger
EINFACH, SCHNELL, SICHER