Erebus 2017 Ransomware

O Erebus 2017 Ransomware é um Trojan ransomware observado pela primeira vez em janeiro de 2017. Um Trojan de ransomware chamado 'Erebus' foi observado em setembro de 2016. No entanto, parece que o Erebus 2017 Ransomware é completamente diferente de seu antecessor, o que significa que pode ser um novo Trojan de ransomware usando o mesmo nome ou que a primeira iteração dessa ameaça foi reescrita inteiramente pelas pessoas responsáveis pelo ataque. Atualmente, os pesquisadores de segurança de PC não associaram o Erebus 2017 Ransomware a uma única campanha de distribuição.

O Erebus 2017 Ransomware pode Ignorar o Controle da Conta do Usuário

O Erebus 2017 Ransomware usa uma quantidade de resgate que é bem menor do que ameaças de ransomware comparáveis. O Erebus 2017 Ransomware exige um pagamento de $90 USD de suas vítimas depois de tornar seus arquivos reféns. O Erebus 2017 Ransomware ignora o Controle de conta de usuário para poder executar ataques no computador da vítima sem exibir uma mensagem do UAC. Para fazer isso, o Erebus 2017 Ransomware seqüestrará o aplicativo Windows associado aos arquivos '.msc', fazendo com que eles iniciem o Erebus 2017 Ransomware. Para fazer isso, o Erebus 2017 Ransomware modificará o Registro do computador infectado. O Erebus 2017 Ransomware executará o Windows Event Viewer (eventvwr.exe), que executa o arquivo eventvwr.msc automaticamente, solicitando que o Windows execute o Erebus 2017 Ransomware executável devido às alterações feitas no Registro do Windows. Isso ignora o UAC, permitindo que o Erebus 2017 Ransomware realize um ataque eficaz ao computador da vítima sem solicitar nenhuma mensagem do UAC.

Como Funciona a Infecção do Erebus 2017 Ransomware

O Erebus 2017 Ransomware estabelece uma conexão com o servidor de Comando e Controle e com um site que permite determinar o endereço IP e a localização geográfica da vítima. O Erebus 2017 Ransomware baixa um cliente TOR usado para realizar suas comunicações com o servidor de Comando e Controle. O Erebus 2017 Ransomware procura por certos tipos de arquivos, usando a criptografia AES para torná-los inacessíveis completamente. Atualmente, o Erebus 2017 Ransomware pesquisa os seguintes tipos de arquivo no computador da vítima, usando seu método de criptografia para torná-los inacessíveis:

.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg , .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods. odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raf, .raw, .rtl, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx.

Durante o ataque, as extensões dos arquivos infectados serão criptografadas e aparecerão com caracteres diferentes. O Erebus 2017 Ransomware também excluirá as cópias de volume de sombra dos arquivos infectados para impedir que os usuários de computador acessem seus arquivos. O Erebus 2017 Ransomware exibe sua nota de resgate em um arquivo HTML chamado 'README.HTML', que é descartado na área de trabalho do computador infectado, além de exibir uma mensagem pop-up. A mensagem pop-up do Erebus 2017 Ransomware tem a seguinte redação:

Arquivos criptografados!
Todos os arquivos importantes neste computador foram criptografados. Procure na pasta de documentos ou da área de trabalho um arquivo chamado README.html para obter instruções sobre como descriptografá-los.

se o botão abaixo não funcionar, você precisará fazer o download de um navegador chamado 'tor browser'
faça o download clicando aqui e instale o navegador, é como chrome, firefox ou internet explorer, exceto que permite navegar em sites especiais.
depois de lançado, navegue para http://erebus5743lnq6db.oni'