Evil Ant Ransomware Entschlüsselung möglich

Netskope Threat Labs hat eine Schwachstelle in der Ransomware „Evil Ant“ entdeckt, die Betroffenen Hoffnung auf Entschlüsselung gibt. Diese Schadsoftware, die auf Python basiert und mittels PyInstaller kompiliert wird, zielt darauf ab, sämtliche Dateien in den persönlichen Ordnern der Opfer sowie auf externen Laufwerken zu verschlüsseln.

Die Besonderheit von Evil Ant besteht darin, dass ein Neustart oder das Schließen des schädlichen Prozesses dazu führt, dass die betroffenen Dateien unwiederbringlich verloren gehen. Dies macht Evil Ant besonders gefährlich, da übliche Notfallmaßnahmen wie ein einfacher Neustart das Problem nicht beheben, sondern verschärfen. Bisher scheint sich Evil Ant vor allem an Privatpersonen zu richten.

Die Infektion beginnt mit dem Verstecken der Prozesskonsole und, in manchen Fällen, einem anhaltenden Piepton bei der Ausführung. Die Ransomware versucht administrative Rechte zu erlangen; gelingt dies nicht, fordert sie diese vom Benutzer. Des Weiteren deaktiviert sie Antivirenprogramme und den Task-Manager, um eine ungestörte Verschlüsselung zu garantieren.

Nach der Sammlung der IP-Adresse des Opfers über ein Telegram-Bot beginnt Evil Ant mit der Verschlüsselung der Zielordner und Dateien. Ein Lösegeldhinweis mit Zahlungsinformationen und ein Eingabefeld für den Entschlüsselungscode, den der Angreifer bereitstellen soll, werden angezeigt.

Trotz der aggressiven Vorgehensweise der Ransomware wurde ein kritischer Fehler im Design von Evil Ant entdeckt: Der Entschlüsselungscode ist in Klartext im Code der Malware hinterlegt, was es den Opfern ermöglicht, ihre Dateien ohne Zahlung wiederherzustellen.

Evil Ant zeigt auch Anfälligkeiten bei der Erkennung isolierter Umgebungen, was die Analyse und Neutralisierung der Bedrohung erleichtert. Diese und weitere Schwächen deuten darauf hin, dass Evil Ant noch in einer frühen Entwicklungsphase steckt.

Betroffenen wird daher geraten, nicht voreilig das Lösegeld zu zahlen und stattdessen professionelle Hilfe zur Wiederherstellung der Daten zu suchen. Wichtig ist, dass betroffene Systeme nicht neu gestartet oder heruntergefahren werden, da dies zur endgültigen Datenvernichtung führen kann.

Sollten Sie aktuell von einem Ransomware Angriff durch Evil-Ant betroffen sein, so raten wir Ihnen kurzfristig Cybersecurity Experten zu Rate zu ziehen, die den Entschlüsselungscode aus der Malware extrahieren können und den Prozess dadurch umkehren können.

Related Posts

SQL Injection in Email Subscribers WordPress-Plugin entdeckt

Eine SQL Injection Sicherheitslücke wurde im populären WordPress-Plugin “Email Subscribers” von Icegram Express gefunden, das für E-Mail-Marketing, Newsletter und Marketingautomatisierung auf WordPress- und WooCommerce-Seiten verwendet wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, SQL-Injections durchzuführen.

Read More

Fujitsu Datenpanne: Private AWS-Schlüssel und Kundenpasswörter offen im Netz

Der Sicherheitsforscher Jelle Ursem des Dutch Institute for Vulnerability Disclosure berichtete im März 2024 dem Online Magazin The Stack, dass Fujitsu private AWS-Schlüssel, Kundendaten und Klartextpasswörter fast ein Jahr lang unbemerkt öffentlich zugänglich gemacht hat. Der Vorfall ereignete sich, als Fujitsu einen öffentlichen Microsoft Azure Speichercontainer freigab, der Dateien mit persönlichen Informationen und Kundeninformationen enthielt. Der Forscher entdeckte die frei zugänglichen Daten während seiner Untersuchungen. Der Container wahr wohl zwischen März 2022 und 2023 offen im Netz zugänglich. In den Daten sind unter anderem CSV Exporte mit Passwörtern im Klartext aus der LastPass Anwendung enthalten sowie vollständige Mailbox Backups mit Kundendaten.

Read More

Halbleiterhersteller Nexperia: Unbefugter Zugriff auf Firmenserver

Nexperia, ein führender globaler Halbleiterhersteller, hat am 12.4.24 bekanntgegeben, dass im März 2024 unbefugte Dritte Zugang zu bestimmten IT-Servern des Unternehmens erlangten.

Read More