Home So erholen Sie sich nach einem Play-Ransomware-Angriff

So erholen Sie sich nach einem Play-Ransomware-Angriff

Play Ransomware wurde erstmals im Juni 2022 entdeckt und Lateinamerika, insbesondere Brasilien, ist das Hauptziel der Play-Hackergruppe. Es wird angenommen, dass die Angreifer aus Russland stammen, da deren Verschlüsselungstechniken denen der russischen Ransomware-Gruppen Hive und Nokoyawa ähneln. Nach dem Eindringen in das Netzwerk über eine Schwachstelle im System verschlüsselt Play Ransomware Ihre Dateien und hinterlässt anschließend einen Lösegeldschein. In dem Hinweis heißt es, dass Ihre Daten bis zur Lösegeldzahlung gesperrt sind.

Was für eine Malware ist Play?

Play ist eine Art Ransomware, die Cobalt Strike für Post-Compromise und SystemBC RAT für Persistenz nutzt. Es verschlüsselt die Dateien, ändert die Dateiendung und hinterlässt eine Lösegeldforderung. Die Gruppe nutzt ProxyNotShell-Schwachstellen in Microsoft Exchange aus, um Netzwerke zu infizieren und Daten von Unternehmen und Organisationen zu stehlen. Play Ransomware nutzt doppelte Erpressungstaktiken, da es die Daten nicht nur verschlüsselt, sondern auch kopiert und droht, die Dateien preiszugeben, wenn das Lösegeld nicht gezahlt wird. Im August 2022Play-Hacker-Gruppe hat die argentinische Justiz in Cordoba angegriffenSie zwingen sie dazu, ihr IT-System abzuschalten. Infolgedessen war die Justiz gezwungen, für die Vorlage offizieller Dokumente Papier und Stift zu verwenden. Experten gehen davon aus, dass es sich um Phishing-E-Mails handelte.

Identifizieren Sie Play-Ransomware

Bestätigter Name

  • Virus spielen

Bedrohungstyp

  • Ransomware
  • Kryptovirus
  • Aktenschrank

Erweiterung für verschlüsselte Dateien

  • .SPIELEN

Lösegeldfordernde Nachricht

  • ReadMe.txt

Gibt es einen kostenlosen Entschlüsseler?

  • Nein, es gibt keinen öffentlichen Entschlüsselungsschlüssel für die Play-Ransomware

Erkennungsnamen

  • AvastWin32:Malware-Gen
  • EmsisoftGen:Variant.Fragtor.104675 (B)
  • KasperskyZEIT:Trojan-Ransom.Win32.Crypmodng.gen
  • MalwarebytesRansom.FileCryptor
  • MicrosoftLösegeld:Win32/Crypmodng!mclg
  • SophosMal/Generic-S

Symptome

  • Auf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden
  • Neue Dateierweiterungen
  • Eine Lösegeldforderungsnachricht auf Ihrem Desktop
  • Dateien mit zufälligen Buchstaben umbenannt

Verteilungsmethoden

Empfohlene Lektüre:Was ist Vishing? Definition, Angriffsmethoden und Prävention

  • Infizierte E-Mail-Anhänge (Phishing-E-Mails)
  • Torrent-Websites (infizierte Links oder Dateien)
  • Schädliche Werbung (Malvertising)

Konsequenzen

  • Gesperrte Dateien
  • Gestohlene Passwörter
  • Datenschutzverletzung

Verhütung

  • Antivirus und Anti-Malware
  • Aktualisierte Software
  • Aktualisiertes Betriebssystem (OS)
  • Firewalls
  • Öffnen Sie keinen E-Mail-Anhang von einer unbekannten Quelle
  • Verwenden Sie eine E-Mail-Sicherheitsanwendung, um bösartige E-Mails zu blockieren
  • Laden Sie keine Dateien von verdächtigen Websites herunter
  • Verwenden Sie Anwendungen, um den externen unbefugten Zugriff auf das Netzwerk zu blockieren
  • Klicken Sie nicht auf Anzeigen, es sei denn, Sie sind sicher, dass dies sicher ist
  • Greifen Sie nur auf Websites aus vertrauenswürdigen Quellen zu

Spielen Sie Ransomware-Domänen ab

  • hxxp://185[.]150[.]117[.]186:80/asdfgsdhsdfgsdfg'
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv
  • hxxp://84[.]32[.]190[.]37:80/ahgffxvbghgfv'
  • hxxp://newspraize[.]com
  • newspraize[.]com
  • realmacnow[.]com
  • hacktool[.]win32[.]toolpow[.]sm
  • hxxp://realmacnow[.]com

Wie hat Play Ihren Computer infiziert?

Wie bei vielen Ransomware-Angriffen ist Phishing eine primäre Methode für Play-Ransomware, um ein Netzwerk zu infizieren. Wenn Ihr Sicherheitssystem eine Schwachstelle aufweist, ist Ihr Unternehmen anfällig für einen Cyberangriff. Die häufigsten Arten, wie Play-Ransomware Computer und Netzwerke infiziert, sind:

  • Schädliche Anhänge und Links in Spam-E-Mails/-Nachrichten
  • Online-Betrug
  • Unseriöse Downloadkanäle
  • Illegale Software-Aktivierungstools (Cracks)
  • Gefälschte Updates
  • Vorbeischauende (heimliche und betrügerische) Downloads

Spam-E-Mail-Kampagnen. Hierbei handelt es sich um einen Phishing-E-Mail-Angriff, bei dem Hacker Social Engineering nutzen, um Opfer dazu zu verleiten, auf schädliche Links oder Anhänge zu klicken. Anschließend wird das Exploit-Kit auf die Maschine heruntergeladen und die Bedrohungsakteure können jederzeit Ransomware auslösen. Bei diesen E-Mails kann es sich um gezielte E-Mails handeln, wenn Hacker auf ein bestimmtes Unternehmen zugreifen wollen, oder es kann sich um ungezieltes Phishing handeln, wenn sie eine Massen-Malware-Spam-Kampagne versenden.Inoffizielle Software-Downloadquellen und Cracks.Bei Raubkopien und Crack handelt es sich in der Regel um Schadprogramme. Außerdem verfügt diese Software nicht über die notwendigen Updates, um das Programm zu verbessern und Schwachstellen zu verhindern, die Hacker ausnutzen können.Bekannte Software-Schwachstellen.Hacker nutzen Software mit bekannten Schwachstellen auch, um Unternehmen anzugreifen. Deshalb ist es sehr wichtig, auch jede Software auf dem neuesten Stand zu halten und Remote-Verwaltungstools wie RDP zu schützen.

Spielen Sie Verschlüsselung und Lösegeldforderung ab

Jede Datei erhält nach der Verschlüsselung die Erweiterung .PLAY. Die Ransomware verwendet das generische RSA-AES-Hybrid-Kryptosystem, um Dateien zu verschlüsseln. Play Ransom Note ist wirklich einfach, was einer der Hauptunterschiede zu anderer Ransomware ist. Meistens besteht die Notiz einfach aus dem Wort „PLAY“, gefolgt von der E-Mail-Adresse, unter der die Opfer die Angreifer kontaktieren müssen. Einige Varianten können den Link für die Tor-Website und die E-Mail-Adresse hinzufügen. Beispiel für den Inhalt der Play-Lösegeldnotiz:

SPIELEN

Nachrichtenportal, Tor-Netzwerk-Links:

mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion

k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion

[email protected]

Wie funktioniert Play-Ransomware?

Play Ransomware verfügt über ein zeitweiliges Verschlüsselungssystem. Es funktioniert nach 10 Schritten, die die Daten nicht nur verschlüsseln, sondern sie auch stehlen und drohen, sie preiszugeben.

1. Erster Zugriff

Play-Ransomware erhält Zugriff auf Netzwerke und Systeme in der Regel über alte legitime Anmeldeinformationen, die auf mehreren Plattformen wiederverwendet wurden oder zuvor durchgesickert sind. Exposed Remote Desktop Protocols (RDP) ist auch ein Einfallstor für Play-Ransomware-Angriffe.

2. Ausführung

Der Ausführungsschritt umfasst die Verwendung geplanter Aufgaben und PsExec. Die Hacker kontrollieren in dieser Phase viele Benutzercomputer und auch legitime Windows-Tools, um Prozesse auf anderen Systemen auszuführen und dann die Ransomware im Netzwerk zu verbreiten.

3. Beharrlichkeit

Die Hacker nutzen die Konten weiterhin als Persistenzmechanismus und ermöglichen so den RDP-Zugriff.

4. Privilegieneskalation

In dieser Phase verwenden Hacker Mimikatz, um hochprivilegierte Anmeldeinformationen aus dem Speicher zu extrahieren.

5. Verteidigungsumgehung

Danach deaktiviert die Ransomware Antiviren- und Anti-Malware-Software. Dann nutzen sie das in Windows integrierte Tool wevtutil, um ihre Spuren zu verwischen und Windows Defender zu deaktivieren.

6. Zugang zu Anmeldeinformationen

In diesem Schritt speichert Play die Anmeldeinformationen auf dem Zielhost und erhält Domänenadministratorzugriff.

7. Entdeckung

Während des Entdeckungsschritts sammeln Hacker weitere Informationen über die Umgebung.

8. Seitliche Bewegung

Für die seitliche Bewegung verwendet Play verschiedene Werkzeuge, wie zum Beispiel:

  • Kobaltschlag
  • SystemBC
  • Reich
  • Mimikatz

9. Exfiltration

Für die Exfiltration besteht der Ansatz von Play darin, die Daten in Blöcke aufzuteilen. Sie verwenden WinRAR, um die Daten zu komprimieren und im .RAR-Dateiformat zu übertragen.

10. Auswirkungen

Der letzte Schritt besteht darin, die Daten zu verschlüsseln und den Dateien die Dateierweiterung .PLAY hinzuzufügen sowie einen Lösegeldschein zu platzieren.

Verhindern Sie Play-Ransomware-Angriffe

Wir haben bereits mehrere Möglichkeiten erwähnt, wie Sie Play-Ransomware-Angriffe verhindern können. Hier finden Sie eine vollständige Liste, was Sie tun müssen, um Ihre Daten und Ihr Unternehmen zu schützen.

1. Löschen Sie veraltete und nicht verwendete Benutzerkonten

Ungenutzte Konten sind Schwachstellen, die Hacker ausnutzen können. Dies ist die primäre Methode, über die Play-Ransomware auf RDP zugreift und Phishing-E-Mails versendet. Deaktivieren und schließen Sie ungenutzte Konten sowie die Konten, die von früheren Mitarbeitern verwendet wurden.

2. Verwenden Sie sichere Passwörter

Verwenden Sie für jedes Konto immer sichere und eindeutige Passwörter und geben Sie diese nur an die erforderlichen Personen weiter. Dadurch kann gewährleistet werden, dass nur autorisiertes Personal auf jedes Unternehmenskonto zugreifen kann.

3. Wenden Sie die Multi-Faktor-Authentifizierung an

Mithilfe der Zwei-Faktor-Authentifizierung oder der biometrischen Entsperrung können Sie sicherstellen, dass nur autorisierte Personen Zugriff auf Ordner, Geräte oder Konten haben.

4. Planen Sie regelmäßige Backups

Bewahren Sie mindestens drei Kopien Ihrer Daten auf, wobei mindestens eine davon offline und extern gespeichert werden muss. Selbst wenn Sie also von einer Naturkatastrophe oder einer von Menschen verursachten Katastrophe (z. B. Ransomware) heimgesucht werden, sind Ihre Daten immer sicher. Regelmäßige Backups können Ausfallzeiten verhindern und sicherstellen, dass Sie niemals sensible Daten verlieren.

5. Nutzen Sie eine Cybersicherheitslösung

Sie können entweder ein IT-Team haben, das die Sicherheit Ihres Unternehmens gewährleistet, oder einen Cybersicherheitsdienst beauftragen. In jedem Fall müssen Sie nach Schwachstellen im Netzwerk suchen, wie zum Beispiel Hintertüren, Exploit-Kits und YouTube-Software.

6. Halten Sie einen Wiederherstellungsplan bereit

Datenwiederherstellungspläne sind Dokumente, die als Leitfaden dafür dienen, was im Katastrophenfall zu tun ist. Dies kann Ihnen helfen, Ihr Unternehmen schneller und sicherer wiederherzustellen. Erfahren Sie in unserem ausführlichen Leitfaden, wie Sie einen Datenwiederherstellungsplan erstellen.

Wie man mit dem Play-Ransomware-Angriff umgeht

Der erste Schritt zur Wiederherstellung nach dem Play-Angriff besteht darin, den infizierten Computer zu isolieren, indem er die Verbindung zum Internet trennt und alle angeschlossenen Geräte entfernt. Dann müssen Sie sich an die örtlichen Behörden wenden. Im Fall von US-Bürgern und Unternehmen ist dies der Fallörtliche FBI-Außenstelleund dieBeschwerdestelle für Internetkriminalität (IC3).Um einen Ransomware-Angriff zu melden, müssen Sie alle verfügbaren Informationen darüber sammeln, einschließlich:

  • Screenshots der Lösegeldforderung
  • Kommunikation mit Theaterschauspielern (falls vorhanden)
  • Beispiel einer verschlüsselten Datei

Sie dürfen die Ransomware nicht löschen und alle Beweise für den Angriff aufbewahren. Das ist wichtig für die digitale Forensik, damit Experten die Hackergruppe zurückverfolgen und identifizieren können. Nutzt die Daten auf Ihrem infizierten System, damit die Behörden den Angriff untersuchen und den Verantwortlichen finden können. Eine Untersuchung eines Cyberangriffs unterscheidet sich nicht von jeder anderen strafrechtlichen Untersuchung: Es werden Beweise benötigt, um die Angreifer zu finden.

Nachdem Sie das Gerät isoliert und die Behörden kontaktiert haben, müssen Sie die nächsten Schritte ausführen, um Ihre Daten abzurufen:

1. Kontaktieren Sie Ihren Incident Response Retainer

Bei einer Cyber ​​Incident Response handelt es sich um den Prozess der Reaktion auf und Bewältigung eines Cybersicherheitsvorfalls. Ein Incident Response Retainer ist ein Servicevertrag mit einem Cybersicherheitsanbieter, der es Unternehmen ermöglicht, bei Cybersicherheitsvorfällen externe Hilfe in Anspruch zu nehmen. Es bietet Organisationen eine strukturierte Form von Fachwissen und Unterstützung durch einen Sicherheitspartner, sodass sie im Falle eines Cyber-Vorfalls schnell und effektiv reagieren können. Ein Incident-Response-Retainer gibt Organisationen Sicherheit und bietet fachkundige Unterstützung vor und nach einem Cyber-Sicherheitsvorfall. Die spezifische Art und Struktur eines Incident Response Retainers variiert je nach Anbieter und den Anforderungen der Organisation. Ein guter Incident Response Retainer sollte robust, aber flexibel sein und bewährte Dienste bereitstellen, um die langfristige Sicherheitslage eines Unternehmens zu verbessern.

2. Identifizieren Sie die Ransomware-Infektion

Sie können anhand der Dateierweiterung erkennen, welche Ransomware Ihren Computer infiziert hat (einige Ransomware verwendet die Dateierweiterung als Namen, z. B. hajd ransomware), oder sie steht auf dem Lösegeldschein. Mit diesen Informationen können Sie nach einem öffentlichen Entschlüsselungsschlüssel suchen. Play hat es jedoch noch nicht.

3. Entfernen Sie die Ransomware und beseitigen Sie Exploit-Kits

Bevor Sie Ihre Daten wiederherstellen, müssen Sie sicherstellen, dass Ihr Gerät frei von Ransomware ist und dass die Angreifer keinen neuen Angriff durch Exploit-Kits oder andere Schwachstellen starten können. Ein Ransomware-Entfernungsdienst kann die Ransomware löschen, ein forensisches Dokument zur Untersuchung erstellen, Schwachstellen beseitigen und Ihre Daten wiederherstellen.

4. Verwenden Sie ein Backup, um die Daten wiederherzustellen

Backups sind die effizienteste Möglichkeit, Daten wiederherzustellen. Stellen Sie sicher, dass Sie abhängig von Ihrer Datennutzung tägliche oder wöchentliche Backups erstellen.

5. Wenden Sie sich an einen Ransomware-Wiederherstellungsdienst

Die Zahlung des Lösegelds stellt keine Garantie dafür dar, dass Ihre Daten an Sie zurückgegeben werden. Die einzige garantierte Möglichkeit, jede Datei wiederherzustellen, besteht darin, ein Backup davon zu haben. Wenn Sie kein aktuelles Backup haben, können Ihnen Ransomware-Datenrettungsdienste dabei helfen, die Dateien zu entschlüsseln und wiederherzustellen. SalvageData-Experten können Ihre Dateien sicher wiederherstellen und garantieren, dass Play-Ransomware Ihr Netzwerk nicht erneut angreift. Kontaktieren Sie unsere Experten rund um die Uhr für einen Notfall-Wiederherstellungsdienst oder finden Sie ein Wiederherstellungszentrum in Ihrer Nähe.

Related Posts

Crunchyroll VPN: Beobachten Sie Ihren Lieblingsanime überall ohne Grenzen

Crunchyroll VPN: Beobachten Sie Ihren Lieblingsanime überall ohne Grenzen

2025-07-10
So stoppen Sie Benachrichtigungen bei Präsentationen und Spielen in Windows 11

So stoppen Sie Benachrichtigungen bei Präsentationen und Spielen in Windows 11

2025-04-08
So blockieren Sie bestimmte Websites im Newsfeed von Microsoft Edge

So blockieren Sie bestimmte Websites im Newsfeed von Microsoft Edge

2025-03-30
5 schnelle Möglichkeiten, den Task

5 schnelle Möglichkeiten, den Task

2025-05-08
7 hilfreiche Tipps, falls Sie Computerkennwort vergessen haben

7 hilfreiche Tipps, falls Sie Computerkennwort vergessen haben

2025-04-30
IT-Management-Services für Unternehmen jeder Größe

IT-Management-Services für Unternehmen jeder Größe

2024-12-21
Wie installiere ich die Gemini Live

Wie installiere ich die Gemini Live

2025-02-12
Die ultimative Anleitung zur Datenaggregation: Nutzung von Web

Die ultimative Anleitung zur Datenaggregation: Nutzung von Web

2025-10-07
Go vs Python für Web Scraping: The Ultimate Showdown

Go vs Python für Web Scraping: The Ultimate Showdown

2025-09-05
So beheben Sie Microsoft Volumen

So beheben Sie Microsoft Volumen

2025-05-11
So deaktivieren Sie WEBRTC

So deaktivieren Sie WEBRTC

2025-10-23
Filter-AI-generierte Bilder in DuckDuckgo Suchergebnissen

Filter-AI-generierte Bilder in DuckDuckgo Suchergebnissen

2025-07-21
Wo kann man Anspruch auf Ruhm beobachten: Betrachten Sie die besten Streaming

Wo kann man Anspruch auf Ruhm beobachten: Betrachten Sie die besten Streaming

2023-10-04
Artikel zu Windows XP

Artikel zu Windows XP

2025-01-11
Fix: Star Wars Jedi Survivor HDR FAKTIERUNG FREUERN DER PS5, XBOX & PC

Fix: Star Wars Jedi Survivor HDR FAKTIERUNG FREUERN DER PS5, XBOX & PC

2023-05-04