Zimbra Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 60 % (Médio) |
| Computadores infectados: | 13 |
| Visto pela Primeira Vez: | June 23, 2016 |
| Visto pela Última Vez: | May 11, 2023 |
| SO (s) Afetados: | Windows |
O Zimbra Ransomware é um Trojan ransomware de criptografia que foi escrito em Python. O Zimbra Ransomware tem como alvo o armazenamento de email Zimbra. O Zimbra Ransomware foi detectado pela primeira vez em junho de 2016. O Zimbra Ransomware é escrito em Python e foi projetado para atacar o software de colaboração Zimbra. Essencialmente, o Zimbra Ransomware ataca a pasta de armazenamento de mensagens de e-mail do Zimbra. O Zimbra Ransomware então executa um ataque típico de criptografia, criptografando todos os arquivos localizados nessa pasta. O Zimbra Ransomware cria uma nota de resgate no /root/how.txt exigindo que as vítimas do ataque paguem três BitCoin para recuperar o acesso aos seus arquivos. Algumas fontes estão se referindo ao Zimbra Ransomware como 'o ZimbraCryptor' para que ele não seja confundido com o Zimbra, que é um software legítimo.
O Zimbra Ransomware Entra no Computador Através de um Script Corrompido
A maneira mais provável pela qual o Zimbra Ransomware é instalado nos computadores das vítimas é através de pirataria. Os analistas de segurança do PC suspeitam que os desenvolvedores do Zimbra Ransomware invadem o servidor do Zimbra e executam o script Python que instala o ataque do Zimbra Ransomware. Esse script corrompido gera uma chave RSA e uma chave AES exclusiva para o computador afetado. A chave AES é criptografada com a chave RSA e ambas as chaves são enviadas para 'mpritsken@priest.com' através do 'support@aliexpress.com'. Essa é uma abordagem típica que temos observado na maioria dos Trojans ransomware para garantir que a vítima não tenha acesso à chave necessária para descriptografar os arquivos criptografados pela ameaça do ransomware de criptografia.
Depois de gerar as chaves de criptografia, o Zimbra Ransomware irá criar uma nota de resgate chamada 'how.txt' localizada na pasta raiz. Essa mensagem contém instruções sobre como pagar e entrar em contato com as pessoas responsáveis por esse ataque. O bilhete de resgate também contém a chave pública, que deve ser enviada para o endereço de e-mail incluído como parte do procedimento de pagamento. Seguem-se o conteúdo da nota de resgate associada ao ataque do Zimbra Ransomware:
'Olá, se você quiser insegurar os seus arquivos você deve enviar 3 btc para 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 e um e-mail para mpritsken@priest.com com: [chave_pública_aqui]'
O Zimbra Ransomware criptografa todos os arquivos localizados no 'path/opt/the Zimbra/store' usando a criptografia AES. Essa pasta contém os e-mails do Zimbra e caixas de correio. Uma vez que eles tenham sido criptografados, tornam-se inacessíveis. Depois que o Zimbra Ransomware criptografa um arquivo, sua extensão será alterada para '.CRYPTO.' Infelizmente, não será possível descriptografar os arquivos criptografados pelo Zimbra Ransomware sem acesso à chave de descriptografia.
Protegendo o Seu Computador Contra o Ataque do Zimbra Ransomware
Para lidar com Trojans de criptografia como o Zimbra Ransomware, a melhor proteção é tomar medidas preventivas. A seguir estão alguns exemplos de medidas que você pode tomar para garantir que o seu computador fique protegido contra o Zimbra Ransomware e ameaças semelhantes:
- Mantenha um backup de todos os seus arquivos, ou pelo menos daqueles arquivos que são essenciais. Essa cópia de segurança deve ser mantida em um dispositivo de memória externa ou no nuvem e não conectada ao seu computador (assim, por exemplo, uma unidade conectada ao seu computador ficaria vulnerável a esses ataques). Ter um backup off-site dos seus arquivos vai torna-lo totalmente invulnerável ao Zimbra Ransomware e ataques similares. Na verdade, uma vez que os backups se tornarem padrão, estes ataques deixarão de serem rentáveis e provavelmente vão desaparecer.
- Use um programa anti-malware confiável, totalmente atualizado para proteger o seu computador. Um programa anti-malware totalmente atualizado interceptará o Zimbra Ransomware ou ameaças semelhantes quando elas tentarem entrar no computador.
- Ameaças como o Zimbra Ransomware podem ser distribuídas usando e-mails spam. É importante ter um bom filtro anti-spam para impedir que mensagens nocivas pousem em sua caixa de e-mail. Também é indispensável evitar abrir anexos de e-mails não solicitados ou links incorporados.
