Crypyt Ransomware
Os cibercriminosos lançaram uma nova ameaça de ransomware chamada Crypyt Ransomware. Embora a análise tenha revelado que o Crypyt é uma variante da família de malware do VoidCrypt, ele ainda pode causar danos graves aos computadores que consegue infectar. A ameaça está equipada com um processo de criptografia indecifrável que pode bloquear vários tipos de arquivo. As vítimas do Crypyt não poderão mais acessar ou usar os arquivos criptografados. Os invasores então se oferecerão para fornecer aos usuários afetados a chave de descriptografia e a ferramenta de software necessárias, mas somente após terem recebido um resgate pesado. Outras ameaças de ransomware incluem o WORM (uma variante do Dharma ), o Rugi (uma variante STOP/Djvu ) e o Extortionist Ransomware.
Durante a criptografia, cada arquivo de destino também terá seu nome alterado drasticamente. A ameaça segue a convenção de nomenclatura VoidCrypt típica e acrescenta aos nomes dos arquivos bloqueados um endereço de e-mail, uma string de ID atribuída ao sistema comprometido específico e, finalmente, uma nova extensão de arquivo. O endereço de e-mail e a extensão usados por esta variante em particular são '3ncrypter.m4n@gmail.com' e '.crypyt'. A nota de resgate com instruções para as vítimas é então entregue ao sistema como um arquivo de texto denominado 'Read-this.txt.'
Detalhes sobre a Nota de Resgate
De acordo com a mensagem que exige o resgate, todas as vítimas devem localizar um arquivo chamado 'prvkey.txt.key' no dispositivo imediatamente. Seu local padrão está na pasta C:\ProgramData\. Aparentemente, este arquivo contém dados cruciais (chave) e sem eles, mesmo os invasores não serão capazes de restaurar nenhum dos arquivos bloqueados. O arquivo deve ser enviado para hackers por meio dos dois endereços de e-mail mencionados na nota de resgate - '3ncrypter.m4n@gmail.com' e '3ncryptionfile@gmail.com'.
Junto com esse arquivo específico, as vítimas do Crypyt também podem enviar alguns de seus arquivos bloqueados que, supostamente, serão desbloqueados gratuitamente.No entanto, os arquivos escolhidos não devem conter nenhuma informação valiosa e devem ter menos de 1 MB. Finalmente, a nota afirma que o pagamento do resgate deve ser transferido usando a criptomoeda Bitcoin, uma demanda popular entre os operadores de ransomware.
O texto completo da nota de resate do Crypyt é:
'Todos os seus arquivos foram criptografados
Você tem que pagar para ter seus arquivos de volta1-Vá para C:\ProgramData\ ou em suas outras unidades e envie-nos o arquivo prvkey.txt.key
2-Você pode enviar algum arquivo com menos de 1mb para teste de descriptografia para confiar em nós, mas o arquivo de teste não deve conter dados valiosos
3-O pagamento deve ser com Bitcoin
4-Alterar o Windows sem salvar o arquivo prvkey.txt.key causará perda permanente de dadosNosso e-mail: 3ncrypter.m4n@gmail.com
em caso de não resposta: 3ncryptionfile@gmail.com'
