Bedrohung TellYouThePass

*Quelle der Behauptung SH kann es entfernen.

Wir haben die folgenden Informationen erstellt, um Sie beim Entfernen der TellYouThePass-Ransomware zu unterstützen und Ihnen Anweisungen zu geben, wie Sie erneute Infektionen vermeiden können. Das Entfernen ist nur die halbe Miete. Der andere Teil besteht darin, die Sicherheitslücke CVE-2024-4577 zu schließen und sicherzustellen, dass sich auf dem infizierten PC nichts befindet, was die TellYouThePass-Ransomware wiederherstellen kann.

Welche Art von Bedrohung ist die TellYouThePass-Ransomware?

TellYouThePass ist eine Ransomware auf „Commodity-Level“, die erstmals 2019 auftauchte. Dies wurde in den Nachrichten mehrfach erwähnt, ist für die tatsächlichen Opfer der Malware jedoch nur ein schwacher Trost. Im Klartext: TellYouThePass-Ransomware ist nicht sehr ausgefeilt, aber wenn sie Ihre Dateien einmal verschlüsselt hat, gibt es keinen Unterschied mehr zwischen ihr und anderer Ransomware. Wenn Sie keine Backups haben, haben Sie nur eine sehr geringe Chance, Ihre Dateien wiederherzustellen.

Download-Tool zum EntfernenEntfernen Sie TellYouThePass

Vor Kurzem (Juni 2024) erregte die Ransomware TellYouThePass erneut Aufmerksamkeit, weil sie kürzlich entdeckte Schwachstellen wie Apache Log4j ausnutzte. Doch im Gegensatz zu anderen cyberkriminellen Gruppen unterhält TellYouThePass weder ein öffentliches Blog noch ein Archiv mit Opferdaten, was ihre Aktivitäten noch unberechenbarer macht. Sie zielt sowohl auf Unternehmen als auch auf Privatpersonen ab und hat einen skrupellos breiten Kreis potenzieller Opfer.

In der Vergangenheit haben wir beobachtet, dass TellYouThePass Ransomware CVE-2021-44228 ausnutzt, aber in jüngster Zeit zielte sie auf die neu entdeckte Schwachstelle CVE-2024-4577 ab. Die Ransomware-Bande nutzt derzeit die neu gepatchte, ausnutzbare Remotecodeausführung in PHP sehr stark aus. Dies ermöglicht es Angreifern, Webshells bereitzustellen und ihre Verschlüsselungsnutzlasten auf Zielsystemen auszuführen.

Die Angriffe, wegen denen Sie wahrscheinlich hier sind, begannen am 8. Juni, nur 48 Stunden nachdem die PHP-Betreuer Sicherheitsupdates veröffentlicht hatten. Die Angreifer verwendeten öffentlich verfügbaren (auf Github) Exploit-Code. Dabei wurde beliebiger PHP-Code mit der Windows-Binärdatei mshta.exe ausgeführt, um eine bösartige HTML-Anwendung auszuführen. Die Gruppe zeigt eine klare Vorliebe für die Ausnutzung bekannter Schwachstellen in Open-Source-Webentwicklungssprachen. Dies bedeutet leider, dass TellYouThePass Ransomware nicht auf Windows beschränkt ist, sondern auch Linux-Benutzer infizieren kann.

Wie TellYouThePass CVE-2024-4577 ausnutzt

Diese Informationen sind am besten für technisch versierte Personen geeignet:

Mehrere PHP-Versionen vor 8.3.8 weisen eine erhebliche Schwachstelle auf, wenn sie mit Apache und PHP-CGI verwendet werden. Wenn bestimmte Codeseiten festgelegt sind, verwendet Windows möglicherweise ein „Best-Fit“-Verhalten und ersetzt Zeichen in der Befehlszeile, die Win32-API-Funktionen übergeben werden. Ein solches Verhalten führt dazu, dass das CGI diese Zeichen fälschlicherweise für PHP-Optionen hält, was wiederum einem Kriminellen ermöglicht, Optionen an die PHP-Binärdatei zu übergeben. Wir stellen dies hier als einfache Erklärung dar, falls Sie den Kontext dessen, was vor sich geht, wissen möchten.

Download-Tool zum EntfernenEntfernen Sie TellYouThePass

Wenn Sie hier nicht weiterkommen, empfehlen wir Ihnen, sich an einen Systemadministrator zu wenden oder einfach SpyHunter zu verwenden, wie in unseren Anzeigen empfohlen.

TellYouThePass verwendet die Windows-Binärdatei mshta.exe, um eine HTA-Datei auszuführen, die ein Container für ein VBScript mit einer base64-codierten Zeichenfolge ist. Die Zeichenfolge wird in eine Binärdatei decodiert, lädt eine .NET-Variante der Ransomware in den Speicher des Hosts und zu diesem Zeitpunkt sind Sie bereits mit der TellYouThePass-Ransomware infiziert. Die Malware sendet dann eine HTTP-Anfrage in Form einer gefälschten CSS-Ressourcenanforderung an einen Command-and-Control-Server (C2). Von da an funktioniert sie wie eine normale Ransomware – sie verschlüsselt die Dateien auf dem infizierten Computer.

Nachdem die Verschlüsselung abgeschlossen ist, platziert TellYouThePass Ransomware eine Lösegeldforderung mit dem Titel „READ_ME10.html“ mit Anweisungen zum Wiederherstellen der Dateien. Die meisten Opfer bemerken die Infektion leider erst zu diesem Zeitpunkt, und dann ist es zu spät, um noch etwas dagegen zu unternehmen. Die aktuelle Lösegeldforderung liegt bei 0,1 BTC (ca. 6.700 $). Mehrere Online-Websites sind derzeit mit dem Virus infiziert und können als Vektoren fungieren, wenn die Infektion anhält.

So vermeiden Sie erneute Infektionen mit TellYouThePass Ransomware

Es gibt Möglichkeiten, die Ausnutzung des PHP-Fehlers einzudämmen und weitere Angriffe durch TellYouThePass Ransomware (oder eine andere Malware, die diesem Beispiel folgt) zu verhindern. Zunächst können Sie die betroffenen Systeme patchen – das klingt nach einem Kinderspiel. Aber es ist ein wesentlicher Schritt. Viele Websites aktualisieren sich nicht regelmäßig, weil sie befürchten, die Funktionalitäten im Backend oder Frontend zu beeinträchtigen, aber so stellen Sie sicher, dass der Virus nicht wiederkehrt.

Zweitens: Führen Sie PHP nicht mit aktiviertem CGI-Modus aus. Wie Sie bei Log4j sehen, ist es eine Herausforderung, jedes System zu aktualisieren, das von einem Fehler in einer Web-Skriptsprache betroffen ist. Sie können auf sicherere Architekturen wie Mod-PHP, FastCGI oder PHP-FPM migrieren. Im Allgemeinen ist PHP CGI veraltet und problematisch.

Sie können auch andere bewährte Methoden befolgen, diese sind jedoch allgemeiner Natur und stehen nicht in direktem Zusammenhang mit TellYouThePass Ransomware. Machen Sie regelmäßig eine Bestandsaufnahme aller Assets und Anwendungen in Ihrer Arbeitsumgebung. Sie können alle Schwachstellen beheben, die sie betreffen. Verwenden Sie Web-Firewall-Technologie, um Angriffe zu stoppen. Und da Sie schon einmal hier sind, empfehlen wir Ihnen, als erste Verteidigungslinie ein Anti-Malware-Programm zu kaufen.

Was können Sie tun, um den durch TellYouThePass Ransomware verursachten Schaden zu begrenzen?

Wenn Sie sich frühzeitig mit der TellYouThePass-Ransomware infizieren, ist es äußerst wichtig, sofort zu handeln und das infizierte Gerät herunterzufahren. Isolieren Sie das infizierte System sofort von anderen Geräten im Netzwerk, da sich die Ransomware sonst auf ihnen ausbreiten kann. Dies hilft, die Infektion einzudämmen und eine weitere Verschlüsselung von Dateien zu verhindern.

Identifizieren Sie als Nächstes die Art von Ransomware, mit der Sie es zu tun haben. Wenn Sie wissen, dass es sich um TellYouThePass handelt, bedeutet dies, dass die Dateien die Erweiterung .LOCKED haben. Sie können hier spezielle Entschlüsselungstools oder -ressourcen finden, aber diese werden Ihnen wahrscheinlich nicht helfen. Leider gibt es keine garantierte Methode, Dateien zu entschlüsseln, ohne das Lösegeld zu zahlen, aber die Kontaktaufnahme mit Cybersicherheitsfirmen kann Optionen bieten.

Die beste Möglichkeit, die Dateien wiederherzustellen, ist die Wiederherstellung von Backups. Dies ist jedoch nur möglich, wenn Sie überhaupt Backups haben. Wenn Sie welche haben, stellen Sie sicher, dass sie offline gespeichert sind, da sich sonst TellYouThePass Ransomware auf sie ausbreiten kann. Stellen Sie sicher, dass Sie Ihre Systeme gründlich bereinigen, bevor Sie Ihr System in den Zustand vor dem Angriff wiederherstellen, um eine erneute Infektion zu vermeiden.

Erfahren Sie, wie TellYouThePass wirklich von Ihrem Computer Entfernen

• Schritt 1. Löschen Sie TellYouThePass über Anti-Malware
• Schritt 2. Löschen Sie TellYouThePass mithilfe der Systemwiederherstellung
• Schritt 3. Stellen Sie Ihre Daten wieder her

Schritt 1. Löschen Sie TellYouThePass über Anti-Malware

• a) Windows 7 / Vista / XP
• b) Windows 8/10

a) Windows 7 / Vista / XP

1. Start → Herunterfahren → Neustart.
2. Wenn der PC geladen wird, drücken Sie F8, bis Erweiterte Startoptionen angezeigt werden.
3. Wählen Sie den abgesicherten Modus mit Netzwerk.
4. Laden Sie beim Laden Ihres Computers Anti-Malware mit Ihrem Browser herunter.
5. Verwenden Sie Anti-Malware, um die Ransomware zu entfernen.

b) Windows 8/10

1. Öffnen Sie das Startmenü und drücken Sie das Power-Logo.
2. Halten Sie die Umschalttaste gedrückt und drücken Sie Neustart.
3. Dann Fehlerbehebung → Erweiterte Optionen → Starteinstellungen.
4. Wechseln Sie in den abgesicherten Modus (oder in den abgesicherten Modus mit Netzwerk).
5. Drücken Sie Neustart.
6. Laden Sie beim Laden Ihres Computers Anti-Malware mit Ihrem Browser herunter.
7. Verwenden Sie Anti-Malware, um die Ransomware zu entfernen.

Schritt 2. Löschen Sie TellYouThePass mithilfe der Systemwiederherstellung

• a) Windows 7 / Vista / XP
• b) Windows 8/10

a) Windows 7 / Vista / XP

1. Start → Herunterfahren → Neustart.
2. Wenn der PC geladen wird, drücken Sie F8, bis Erweiterte Startoptionen angezeigt werden.
3. Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
4. Geben Sie im angezeigten Fenster die CD-Wiederherstellung ein und drücken Sie die Eingabetaste.
5. Geben Sie rstrui.exe ein und drücken Sie die Eingabetaste.
6. Wählen Sie im angezeigten Fenster einen Wiederherstellungspunkt aus und klicken Sie auf Weiter. Stellen Sie sicher, dass sich der Wiederherstellungspunkt vor der Infektion befindet.
7. Drücken Sie im angezeigten Bestätigungsfenster auf Ja.

b) Windows 8/10

1. Öffnen Sie das Startmenü und drücken Sie das Power-Logo.
2. Halten Sie die Umschalttaste gedrückt und drücken Sie Neustart.
3. Dann Fehlerbehebung → Erweiterte Optionen → Eingabeaufforderung.
4. Klicken Sie auf Neu starten.
5. Geben Sie im angezeigten Fenster die CD-Wiederherstellung ein und drücken Sie die Eingabetaste.
6. Geben Sie rstrui.exe ein und drücken Sie die Eingabetaste.
7. Drücken Sie im angezeigten Fenster auf Weiter, wählen Sie einen Wiederherstellungspunkt (vor der Infektion) und klicken Sie auf Weiter.
8. Drücken Sie im angezeigten Bestätigungsfenster auf Ja.

Schritt 3. Stellen Sie Ihre Daten wieder her

• a) Methode 1. Verwenden von Data Recovery Pro zum Wiederherstellen von Dateien
• b) Methode 2. Verwenden früherer Windows-Versionen zum Wiederherstellen von Dateien
• c) Methode 3. Verwenden von Shadow Explorer zum Wiederherstellen von Dateien

a) Methode 1. Verwenden von Data Recovery Pro zum Wiederherstellen von Dateien

1. Erhalten Sie Data Recovery Pro von der offiziellen Website.
2. Installieren und öffnen Sie es.
3. Verwenden Sie das Programm, um nach verschlüsselten Dateien zu suchen.
4. Wenn Dateien wiederhergestellt werden können, können Sie dies mit dem Programm tun.

b) Methode 2. Verwenden früherer Windows-Versionen zum Wiederherstellen von Dateien

Damit diese Methode funktioniert, muss die Systemwiederherstellung vor Infektionen aktiviert worden sein.

1. Klicken Sie mit der rechten Maustaste auf die Datei, die Sie wiederherstellen möchten.
2. Wählen Sie Eigenschaften.
3. Wechseln Sie zur Registerkarte Vorherige Versionen, wählen Sie die gewünschte Version der Datei aus und klicken Sie auf Wiederherstellen.

c) Methode 3. Verwenden von Shadow Explorer zum Wiederherstellen von Dateien

Ihr Betriebssystem erstellt automatisch Schattenkopien Ihrer Dateien, damit Sie Dateien wiederherstellen können, wenn Ihr System abstürzt. Es ist möglich, Dateien nach einem Ransomware-Angriff auf diese Weise wiederherzustellen, aber einige Bedrohungen schaffen es, die Schattenkopien zu löschen. Wenn Sie Glück haben, sollten Sie in der Lage sein, Dateien über Shadow Explorer wiederherzustellen.

1. Sie müssen das Shadow Explorer-Programm herunterladen, das Sie von der offiziellen Website shadowexplorer.com erhalten.
2. Installieren und öffnen Sie es.
3. Wählen Sie die Festplatte aus, auf der sich die Dateien befinden, wählen Sie das Datum aus und drücken Sie Exportieren, wenn die Ordner mit den Dateien angezeigt werden.