Was ist Snatch Ransomware und wie man sie entfernt?

Es scheint, als würden Crimeware-Entwickler nie schlafen, wenn die Abwehrkräfte steigen. Sie sind immer auf der Suche nach verschiedenen Möglichkeiten, ihre Angriffswaffen zu verbessern. Eine der neuesten Techniken ist ein Ransomware-Stamm, der ein Windows-Gerät dazu zwingen kann, Neustart im abgesicherten Modus kurz bevor die Verschlüsselung beginnt, um den Endpunktschutz zu umgehen.

Diese besondere Sorte ist aufgrund ihrer Autoren, die sich selbst als Snatch Team bezeichnen, als Snatch bekannt. Es war von Sophos Labs-Forschern entdeckt, die ihre Entdeckung zusammen mit Einblicken, wie solche Banden in Unternehmen und andere Einheiten auf ihrer Abschussliste einbrechen, skizziert.

Wir erklären, was Snatch-Ransomware ist, wie sie funktioniert und wie Sie sie von Ihren Geräten entfernen können.

Auch auf Guiding Tech

Was ist Snatch-Ransomware?

Snatch ist eine neue Ransomware-Variante, deren ausführbare Datei Windows-Geräte dazu zwingt, sogar im abgesicherten Modus neu zu starten bevor der Verschlüsselungsprozess beginnt, um den Endpunktschutz zu umgehen, der hier oft nicht ausgeführt wird Modus.

Entdeckt von SophosLabs-Forschern und dem Sophos Managed Threat Response-Team, die snatch-Ransomware gehört zu mehreren Komponenten der Malware-Konstellation wird in einer fortlaufenden Reihe sorgfältig orchestrierter Angriffe mit umfangreicher Datensammlung verwendet.

Die neuer Stamm der Ransomware verwendet eine einzigartige Infektionsmethode, die eine ausgeklügelte AES-Verschlüsselung anwendet, damit Benutzer, deren Computer infiziert sind, nicht auf ihre Dateien zugreifen können.

Die Ransomware Snatch war erstmals im April 2019 merklich aktiv, wurde aber Ende 2018 veröffentlicht. Allerdings ist die Spitze in verschlüsselten Dateien und Lösegeldforderungen führte zu seiner Entdeckung und Weiterverfolgung durch das Forscherteam von Sophos.

Seine Kryptovirus-Form greift hochkarätige Ziele an, aber dieser neue Stamm, der mit Google Go Programm, umfasst eine Sammlung von Tools, einschließlich einer Datendiebstahl- und Ransomware-Funktion. Außerdem hat es eine Kobaltschlag Reverse-Shell und andere Tools, die von Penetrationstestern und Systemadministratoren verwendet werden.

Notiz: Die von Sophos entdeckte Variante ist unter Windows nur in 32-Bit- und 64-Bit-Editionen von Version 7 bis 10 lauffähig.

So funktioniert Snatch-Ransomware

Als Dateisperrvirus hat die Snatch-Ransomware keine Verbindungen zu anderen Stämmen. Dennoch haben die Entwickler neun Varianten der Bedrohung veröffentlicht, die verschiedene Erweiterungen anhängen, nachdem Daten mit AES-Verschlüsselung verschlüsselt wurden.

Der Trick besteht darin, Maschinen im abgesicherten Modus neu zu starten, und dann schränkt die Ransomware den Zugriff auf Ihre Daten ein, indem sie Ihre Dateien verschlüsselt. Danach versuchen die Hacker, Geld von Ihnen zu erpressen, indem sie Lösegeld in Form von Bitcoin erbitten, um Ihre Dateien zu entsperren und den Datenzugriff zurückzugeben.

Es gibt einen Grund, warum ihr Trick funktioniert. Einige Antivirensoftware startet nicht im abgesicherten Modus, und die Entwickler haben festgestellt, dass sie einen Windows-Registrierungsschlüssel leicht ändern und Ihren Computer einfach im abgesicherten Modus starten können. Somit läuft die Ransomware unbemerkt von Ihrer Sicherheitssoftware.

Wenn es zum ersten Mal auf Ihrem Gerät installiert wird, kommt es über SuperBackupMan, einen Windows-Dienst, und wird direkt vor dem Neustart Ihres Computers eingerichtet, sodass Sie es nicht rechtzeitig stoppen können.

Nach der Installation verwenden die Angreifer den Administratorzugriff, um BCDEDIT, ein Windows-Befehlszeilentool, auszuführen, um Ihren Computer zu einem sofortigen Neustart im abgesicherten Modus zu zwingen.

Es erstellt dann eine zufällig benannte ausführbare Datei in Ihrem %AppData%- oder %LocalAppData%-Ordner, die gestartet wird und die Laufwerksbuchstaben Ihres Computers nach zu verschlüsselnden Dateien durchsucht.

Auch auf Guiding Tech

Von Snatch Ransomware betroffene Dateien

Es gibt bestimmte Dateierweiterungen, die es verschlüsselt, einschließlich .doc, .docx, .pdf, .xls und viele andere, die es infiziert und ihre Erweiterungen in Snatch ändert, sodass Sie sie nicht erneut öffnen können.

Die Ransomware hinterlässt eine Readme_Restore_Files.txt-Textdateinotiz, die zwischen einem und fünf Bitcoin verlangt im Austausch gegen einen Entschlüsselungsschlüssel mit Informationen zur Kommunikation mit den Hackern, um an Ihre Datendateien zu gelangen zurück.

Nachdem die Ransomware Ihren Computer vollständig gescannt hat, verwendet sie vssadmin.exe, einen Windows-Befehl, um alle Schattenvolumenkopien darauf zu löschen, sodass Sie sie nicht wiederherstellen und zum Wiederherstellen verschlüsselter Datendateien verwenden können. Der letzte Schritt ist zu alle Datendateien verschlüsseln auf Ihrer Festplatte.

Derzeit sind infizierte Dateien aufgrund der ausgeklügelten Natur der verwendeten AES-Verschlüsselung nicht entschlüsselbar. Sie haben jedoch immer noch eine Lebensader, wenn Ihr Computer infiziert ist, indem Sie Ihre Dateien aus dem letzten Backup wiederherstellen.

Die Snatch-Ransomware hat regelmäßige Benutzer über Spam-E-Mails ins Visier genommen. Aber heute sind die Hauptzielgruppen Konzerne. Wenn Sie solche Kriminellen bezahlen, verlieren Sie nicht nur Geld und haben keine Garantie, dass sie Ihnen den Entschlüsselungsschlüssel zusenden, sondern ermutigt sie auch, ihre Cyberkriminalität fortzusetzen.

Wenn Sie kein aktualisiertes Backup haben, können Sie nicht viel anderes tun, als zu warten, bis Sicherheitsexperten einen Snatch-Ransomware-Entschlüsseler entwickeln. Das kann lange dauern, aber es gibt andere Möglichkeiten, sich vor solchen Angriffen zu schützen.

So entfernen Sie Snatch Ransomware von Ihrem Computer

Eine der besten Möglichkeiten, Snatch-Ransomware und andere Malware zu entfernen, besteht darin, eine gute Antiviren-Sicherheitssoftware wie Malwarebytes oder SpyHunter zu installieren, die die Bedrohung scannen, erkennen und beseitigen kann. Nicht alle Antiviren-Engines können es abfangen, da es sich um eine völlig neue Malware handelt. Daher ist es gut, mit mehreren Programmen zu scannen.

Sie können sich und Ihre Geräte vor Ransomware-Angriffen schützen, indem Sie einfache Schritte wie z Herunterladen von Software von vertrauenswürdigen Quellen und vermeiden Sie das Öffnen von E-Mail-Anhängen von nicht vertrauenswürdigen Quellen.

Andere Möglichkeiten, sich und Ihr Unternehmen vor Snatch und anderen Arten von Ransomware zu schützen, sind:

• Pflegen Sie ein aktualisiertes Betriebssystem und sichern Sie Ihre Daten.
• Führen Sie ein regelmäßiges Passwort-Audit durch.
• Stellen Sie mehrschichtige, umfassende Sicherheitssoftware bereit, um alle Einstiegspunkte vor einem Ransomware-Angriff zu schützen.
• Sicherung von Fernzugriffstools und anderen anfälligen Programmen, weil Snatch-Angreifer andere Kriminelle einstellen, die Erfahrung mit Web-Shells haben oder in der Lage sind, sich über Injektionsangriffe in SQL-Server zu hacken.
• Schützen Sie Ihre Remotedesktop-Schnittstelle, indem Sie sie hinter einem VPN in Ihrem Netzwerk platzieren, damit Personen ohne VPN-Anmeldeinformationen nicht darauf zugreifen können.
• Führen Sie regelmäßige und gründliche Überprüfungen aller Geräte in Ihrem Zuhause oder Ihrer Organisation durch, um sicherzustellen, dass sie geschützt und überwacht werden, da Snatch solche Zugangspunkte und Trittbretter nutzt, um Zugang zu erhalten.
• Richten Sie die Multi-Faktor-Authentifizierung für alle Administratoren in Ihrer Organisation ein und verwenden Sie sie, damit Angreifer Ihre Anmeldeinformationen nicht per Brute Force erzwingen können.
• Führen Sie eine vollständige Bedrohungssuche in Ihrem Netzwerk durch, um solche Aktivitäten vor der Infektion zu identifizieren.

Auch auf Guiding Tech

Schützen Sie Ihr System

Snatch-Ransomware kann fast lebensbedrohlich klingen, wenn es darum geht, Ihre Dateien und Geräte zu lähmen. Bevor Sie daran denken, das Lösegeld zu zahlen, versuchen Sie die oben genannten Schritte, um die Bedrohung zu entfernen, und ergreifen Sie immer vorbeugende Maßnahmen, um sicherzustellen, dass diese und solche Bedrohungen nicht auf Ihrem Computer oder Netzwerk auftauchen.

Next Up: Wenn Sie vermuten, dass Ihr Telefon mit Ransomware infiziert ist, lesen Sie unseren nächsten Artikel, um herauszufinden, wie Sie dies erkennen und entfernen können.