Was ist Snatch Ransomware und wie man sie entfernt?

Es scheint, als würden Crimeware-Entwickler nie schlafen, wenn die Abwehrkräfte steigen. Sie sind immer auf der Suche nach verschiedenen Möglichkeiten, ihre Angriffswaffen zu verbessern. Eine der neuesten Techniken ist ein Ransomware-Stamm, der ein Windows-Gerät zwingen kann, in den abgesicherten Modus zu starten, kurz bevor die Verschlüsselung beginnt, um den Endpunktschutz zu umgehen.


Snatch Ransomware So entfernen Sie Featured

Diese besondere Sorte ist aufgrund ihrer Autoren, die sich selbst als Snatch Team bezeichnen, als Snatch bekannt. Es wurde von Sophos Labs-Forschern entdeckt, die ihre Entdeckung zusammen mit Erkenntnissen darüber skizzierten, wie solche Banden in Unternehmen und andere Einheiten auf ihrer Hitliste einbrechen.

Wir erklären, was Snatch-Ransomware ist, wie sie funktioniert und wie Sie sie von Ihren Geräten entfernen können.

Was ist Snatch-Ransomware?

Snatch ist eine neue Ransomware-Variante, deren ausführbare Datei Windows-Geräte dazu zwingt, im abgesicherten Modus neu zu starten, noch bevor der Verschlüsselungsprozess beginnt, um den Endpunktschutz zu umgehen, der in diesem Modus oft nicht ausgeführt wird.

Die Snatch-Ransomware wurde von den SophosLabs-Forschern und dem Sophos Managed Threat Response-Team entdeckt und gehört zu mehreren Malware-Konstellationskomponenten, die in einer fortlaufenden Reihe sorgfältig orchestrierter Angriffe mit umfangreicher Datensammlung verwendet werden.


Snatch Ransomware So entfernen Sie den Angriff

Der neue Stamm der Ransomware verwendet eine einzigartige Infektionsmethode, die eine ausgeklügelte AES-Verschlüsselung anwendet, sodass Benutzer, deren Computer infiziert sind, nicht auf ihre Dateien zugreifen können.

Die Snatch-Ransomware war erstmals im April 2019 merklich aktiv, wurde jedoch Ende 2018 veröffentlicht. Der Anstieg der verschlüsselten Dateien und Lösegeldforderungen führte jedoch dazu, dass das Forscherteam von Sophos sie entdeckt und weiterverfolgt.

Seine Krypto-Virus-Form greift hochkarätige Ziele an, aber dieser neue Stamm, der mit dem Google Go-Programm erstellt wurde, umfasst eine Sammlung von Tools, darunter eine Datendiebstahl- und Ransomware-Funktion. Außerdem verfügt es über eine Cobalt Strike Reverse-Shell und andere Tools, die von Penetrationstestern und Systemadministratoren verwendet werden.

Notiz: Die von Sophos entdeckte Variante ist unter Windows nur in 32-Bit- und 64-Bit-Editionen von Version 7 bis 10 lauffähig.

So funktioniert Snatch Ransomware

Als Dateisperrvirus hat die Snatch-Ransomware keine Verbindungen zu anderen Stämmen. Dennoch haben die Entwickler neun Varianten der Bedrohung veröffentlicht, die verschiedene Erweiterungen anhängen, nachdem Daten mit AES-Verschlüsselung verschlüsselt wurden.

Der Trick besteht darin, Computer im abgesicherten Modus neu zu starten, und dann schränkt die Ransomware den Zugriff auf Ihre Daten ein, indem sie Ihre Dateien verschlüsselt. Danach versuchen die Hacker, Geld von Ihnen zu erpressen, indem sie Lösegeld in Form von Bitcoin erbitten, um Ihre Dateien zu entsperren und den Datenzugriff zurückzugeben.


Snatch Ransomware So entfernen Sie Werke

Es gibt einen Grund, warum ihr Trick funktioniert. Einige Antivirensoftware startet nicht im abgesicherten Modus, und die Entwickler fanden heraus, dass sie leicht einen Windows-Registrierungsschlüssel ändern und Ihren Computer einfach im abgesicherten Modus starten konnten. Somit läuft die Ransomware unbemerkt von Ihrer Sicherheitssoftware.

Wenn es zum ersten Mal auf Ihrem Gerät installiert wird, kommt es über SuperBackupMan, einen Windows-Dienst, und wird direkt vor dem Neustart Ihres Computers eingerichtet, sodass Sie es nicht rechtzeitig stoppen können.


Snatch Ransomware So entfernen Sie Superbackupman

Nach der Installation verwenden die Angreifer den Administratorzugriff, um BCDEDIT, ein Windows-Befehlszeilentool, auszuführen, um Ihren Computer zu einem sofortigen Neustart im abgesicherten Modus zu zwingen.

Es erstellt dann eine zufällig benannte ausführbare Datei in Ihrem %AppData%- oder %LocalAppData%-Ordner, die gestartet wird und beginnt, die Laufwerksbuchstaben Ihres Computers nach zu verschlüsselnden Dateien zu durchsuchen.

Von Snatch Ransomware betroffene Dateien

Es gibt bestimmte Dateierweiterungen, die es verschlüsselt, darunter .doc, .docx, .pdf, .xls und viele andere, die es infiziert und deren Erweiterungen in Snatch ändert, sodass Sie sie nicht erneut öffnen können.

Die Ransomware hinterlässt eine Textdateinotiz Readme_Restore_Files.txt, die im Austausch für einen Entschlüsselungsschlüssel alles zwischen einem und fünf Bitcoin verlangt, mit Informationen darüber, wie Sie mit den Hackern kommunizieren können, um Ihre Datendateien zurückzubekommen.


Snatch Ransomware So entfernen Sie die Nachricht

Nachdem die Ransomware Ihren Computer vollständig gescannt hat, verwendet sie vssadmin.exe, einen Windows-Befehl, um alle Schattenvolumenkopien darauf zu löschen, sodass Sie sie nicht wiederherstellen und zum Wiederherstellen verschlüsselter Datendateien verwenden können. Der letzte Schritt besteht darin, alle Datendateien auf Ihrer Festplatte zu verschlüsseln.

Derzeit sind infizierte Dateien aufgrund der ausgeklügelten Natur der verwendeten AES-Verschlüsselung nicht entschlüsselbar. Sie haben jedoch immer noch eine Lebensader, wenn Ihr Computer infiziert ist, indem Sie Ihre Dateien aus dem letzten Backup wiederherstellen.


Snatch Ransomware So entfernen Sie Dateigeiseln

Die Snatch-Ransomware zielt über Spam-E-Mails auf regelmäßige Benutzer ab. Aber heute sind die Hauptzielgruppen Konzerne. Wenn Sie solche Kriminellen bezahlen, verlieren Sie nicht nur Geld und haben keine Garantie, dass sie Ihnen den Entschlüsselungsschlüssel zusenden, sondern ermutigt sie auch, ihre Cyberkriminalität fortzusetzen.

Wenn Sie kein aktualisiertes Backup haben, können Sie nicht viel anderes tun, als zu warten, bis Sicherheitsexperten einen Snatch-Ransomware-Entschlüsseler entwickeln. Das kann lange dauern, aber es gibt andere Möglichkeiten, sich vor solchen Angriffen zu schützen.

So entfernen Sie Snatch Ransomware von Ihrem Computer

Eine der besten Möglichkeiten, Snatch-Ransomware und andere Malware zu entfernen, besteht darin, eine gute Antiviren-Sicherheitssoftware wie Malwarebytes oder SpyHunter zu installieren, die die Bedrohung scannen, erkennen und beseitigen kann. Nicht alle Antiviren-Engines können es abfangen, da es sich um eine völlig neue Malware handelt. Daher ist es gut, mit mehreren Programmen zu scannen.

Sie können sich und Ihre Geräte vor Ransomware-Angriffen schützen, indem Sie einfache Schritte wie das Herunterladen von Software aus vertrauenswürdigen Quellen ausführen und das Öffnen von E-Mail-Anhängen aus nicht vertrauenswürdigen Quellen vermeiden.


Snatch Ransomware So entfernen Sie Dateitypen

Andere Möglichkeiten, sich und Ihr Unternehmen vor Snatch und anderen Arten von Ransomware zu schützen, sind:

  • Pflegen Sie ein aktualisiertes Betriebssystem und sichern Sie Ihre Daten.
  • Führen Sie ein regelmäßiges Passwort-Audit durch.
  • Stellen Sie mehrschichtige, umfassende Sicherheitssoftware bereit, um alle Einstiegspunkte vor einem Ransomware-Angriff zu schützen.
  • Sicherung von Fernzugriffstools und anderen anfälligen Programmen, weil Snatch-Angreifer andere Kriminelle einstellen, die Erfahrung mit Web-Shells haben oder in der Lage sind, sich über Injektionsangriffe in SQL-Server zu hacken.
  • Schützen Sie Ihre Remotedesktop-Benutzeroberfläche, indem Sie sie hinter einem VPN in Ihrem Netzwerk platzieren, damit Personen ohne VPN-Anmeldeinformationen nicht darauf zugreifen können.
  • Führen Sie regelmäßige und gründliche Überprüfungen aller Geräte in Ihrem Zuhause oder Ihrer Organisation durch, um sicherzustellen, dass sie geschützt und überwacht werden, da Snatch solche Zugangspunkte und Trittbretter nutzt, um Zugang zu erhalten.
  • Richten Sie die Multi-Faktor-Authentifizierung für alle Administratoren in Ihrer Organisation ein und verwenden Sie sie, damit Angreifer Ihre Anmeldeinformationen nicht mit Brute Force verwenden können.
  • Führen Sie eine vollständige Bedrohungssuche in Ihrem Netzwerk durch, um solche Aktivitäten vor der Infektion zu identifizieren.

Schützen Sie Ihr System

Snatch-Ransomware kann fast lebensbedrohlich klingen, da sie Ihre Dateien und Geräte lahmlegt. Bevor Sie daran denken, das Lösegeld zu zahlen, versuchen Sie die oben genannten Schritte, um die Bedrohung zu entfernen, und ergreifen Sie immer vorbeugende Maßnahmen, um sicherzustellen, dass diese und solche Bedrohungen nicht auf Ihrem Computer oder Netzwerk auftauchen.

Next Up: Wenn Sie vermuten, dass Ihr Telefon mit Ransomware infiziert ist, lesen Sie unseren nächsten Artikel, um herauszufinden, wie Sie dies erkennen und entfernen können.

Verwandt :  So installieren Sie neue Schriftarten in Mac OS X
Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.