Geschichte von Mobef 2.0:

​

Mobef 2.0, auch TRAFFICBOOSTER - OPENTHISFILE.NOW - YOUWILLNEED.THIS genannt, ist wegen der Datei, die es auf dem infizierten Rechner hinterlässt, die neueste Version, sehr aggressiv,  del ransomware Mobef 2.0 .

​

Nach ihrer Infiltration werden Dateien verschlüsselt und die Dateierweiterung wird nicht geändert.

 

Beispiel: Eine mit Mobef 2.0 infizierte Datei mit dem Namen „sample.jpg“ bleibt „sampe.jpg“.

​

Der Desktop-Hintergrund wird manchmal geändert und es werden zwei Dateien erstellt: "OPENTHISFILE.NOW" und "YOUWILLNEED.THIS"

​

​

​

​

​

​

 

​

 

Alle Dateien mit den folgenden Erweiterungen werden verschlüsselt:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

​

TRAFFICBOOSTER - OPENTHISFILE.NOW - YOUWILLNEED.THIS ist sehr ähnlich zu Dutzenden anderer Malware wie CryptoWall Locky CTB-Locker und CryptoLocker. Jeder verschlüsselt Dateien und bittet um Bitcoins im Austausch für einen Entschlüsseler (oder Entschlüsseler) und einen Entschlüsselungsschlüssel. Die Dateien sind encoded mit asymmetrischer Verschlüsselung (symmetrisch wird von Midrange-Ransomware verwendet) und daher besteht der einzige Unterschied in der Höhe des Lösegelds.

​

​

​

How are distributed TRAFFICBOOSTER alias ÖFFNEN SIE DIESE DATEI.

​

In den meisten Fällen erfolgt die Verbreitung über direkte Angriffe auf den RDP-Port, auf Maschinen und Server, die eines der folgenden Betriebssysteme verwenden:

​

Windows Server 2003 (April 2003)
Windows Server 2003 R2 (Dezember 2005)
Windows Server 2008 (Februar 2008)
Windows Server 2008 R2 (Juli 2009)
Windows Server 2012 (August 2012)
Windows Server 2012 R2 (Oktober 2013)
Windows Server 2016 (September 2016)

​

Sie werden oft über infizierte E-Mails, kompromittierte Word-Dateien, Javascript und Facebook-Bild-Spam verbreitet.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

So entschlüsseln Sie von TRAFFICBOOSTER verschlüsselte Dateien? 

Können Sie meine Daten wiederherstellen?

​

Ja, wir können alle Ihre Dateien wiederherstellen!!* 

​

Senden Sie uns eine E-Mail an  info@recuperafiles.it allegando dei files criptati, i files OPENTHISFILE.NOW - YOUWILLNEED.THIS insieme al tuo numero di telefono; Wir werden uns so schnell wie möglich mit Ihnen in Verbindung setzen!​

​

*Prozedur valid nur für version 2.0 von Mobef (nicht 2.0.1 oder 2.1).

​

​

​

​

FAQ: Häufige Fragen und Antworten zu Mobef-Infektionen, die von unseren Kunden gemeldet wurden:

​

​

Was wird nach der Infektion empfohlen?

​

Es wird empfohlen, infizierte PCs/Server vom Netzwerk zu trennen und sofort die Infektionsquelle zu analysieren. Normalerweise ist das Betriebssystem nicht beschädigt, aber es ist sehr wahrscheinlich, dass versteckte Hintertüren im System vorhanden sind.

​

 

Mein RDP-Passwort war sehr sicher, wie haben sie es gefunden?

​

Leider gibt es selbst mit einem Passwort aus 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen wirksamen Schutz wie einige ausbeuten  auf dem RDP-Port, wodurch eine Kennwortumgehung effektiv ermöglicht wird.

​

​

Das Administratorkonto wurde deaktiviert, was ist passiert? 

​

Häufig wird das „Administrator“-Konto aus Sicherheitsgründen deaktiviert, obwohl der gesamte Verschlüsselungsprozess von diesem Konto aus stattgefunden hat, wie war das möglich?

All dies geschieht über una „Privilegienausweitung“, d.h. Sie verbinden sich als "normaler" Benutzer, werden die Rechte dieses Benutzers erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, mit dem Sie sich später verbinden, um eine Verschlüsselung durchzuführen. 3194-bb3b-136bad5cf58d_

​

​

Ich hatte die Verbindungen eingeschränkt, die auf den RDP-Dienst zugreifen konnten. Wie haben sie sich verbunden? 

​

Gibt es in Ihrem Netzwerk "offene" Clients im Internet? Auch wenn Ihr Server die Verbindungen beschränkt, von denen aus auf ihn zugegriffen werden kann (über Firewall, VPN, IP-Filter, Whitelisting usw.), wird die Verbindung über das RDP des mit dem Internet verbundenen Clients hergestellt.

Sobald Sie die Kontrolle über diesen Client übernommen haben, verbinden Sie sich über ihn mit dem Server im internen Netzwerk, wodurch das Filtern aller externen IPs effektiv nutzlos wird.

​

​

Der RDP-Dienstport war nicht der Standardport, wie haben sie den Dienst gefunden? 

​

Die Standardports für den RDP-Dienst sind 445 und 3389, aber ich hatte den Dienst auf Port 5555 eingestellt, wie haben sie ihn gefunden? Einfach mit einem Netzwerkscanner, der alle Ports von 1 bis 65000​ auf der Suche nach dem RDP-Dienst analysiert.

​

​

Was kann ich also tun, um mich vor zukünftigen TRAFFICBOOSTER-Angriffen zu schützen?​

​

Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​

- Schließen Sie sofort den Dienst RDP  auf allen lokalen und Remote-Computern

- Installieren Sie unser Ransomware-Schutzskript, mehr info HIER

​

​

Wo sind meine Backups geblieben? E virtuelle Maschinen?​

​

Nach der Mobef-Infektion werden die .backup-Dateien gelöscht und oft auch alle virtuellen Maschinen (VMware, Oracle VM VirtualBox etc.), die gestartet und anschließend gelöscht oder verschlüsselt werden._d04a07d8-9cd1-3239-9149 -20813d6c673b_

​

​

Haben Sie weitere Fragen oder benötigen Sie weitere Informationen?​

 

Schreiben Sie uns an at info@recuperafiles.it und wir werden versuchen, alle Ihre Zweifel zu klären.

​

​

​