GANDCRAP 5.0.4

Noxx

Stammuser
#1
Hi,

habe letztens endlich mal angefangen mein Dateisystem auf bzw. Umzuräumen. Aufeinmal entdeckte ich eine extrem mekwürdige Datei in einem meiner Verzeichnisse "HAYHG-DECRYPT.txt". Diese Lag schon seit 7.1.19 dort und auch wie unten im File erwähnt waren einige meiner Dateien mit der Endung .hayhg versehen. In jedem der infizierten Verzeichnisse befindet sich eine "HAYHG-DECRYPT.txt"


Inhalt der Datei: (Kritische Daten wurden von mir entfernt bzw abgeändert)

---= GANDCRAB V5.0.4 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .HAYHG

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfenef.onion/<someData>
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---


Zum Glück hat diese Zeile "All your files, documents, photos, databases and other important files are encrypted and have the extension: .HAYHG" nicht ganz gestimmt und es waren nur meine Persönlichen Bilder betroffen.

Natürlich bin ich neugierig gewesen und habe den onion link besucht, nichts weltbewegendes, ein Chat Fenster und wie oben beschrieben eine Anleitung zum bezahlen mit Bitcoin oder Dash. Auch war oben ein Countdown von 24h, der angibt dass nach Ablauf das doppelte des geforderten Betrags verlangt wird.


Kennt jemand die Verschlüsselung der Vorgängerversionen? Bitdefender wird wohl kaum Ihre Informationen raus geben.

https://labs.bitdefender.com/2018/1...ZdvyE3ZiygsL90Bvv5F-5NU8hBsFnhlYaAgnSEALw_wcB

Oder eventuell jemand Lust sich damit auseinanderzusetzen? - Wenn ja, PM an mich.
 
Zuletzt bearbeitet:
Oben