2700 Ransomware

A variante de ransomware identificada como 2700 foi descoberta durante a análise de possíveis ameaças de malware. Este software prejudicial emprega um mecanismo de criptografia de arquivos, onde criptografa arquivos e anexa informações específicas aos nomes dos arquivos. Os dados anexados incluem o ID da vítima, o endereço de e-mail sqlback@memeware.net e uma extensão ‘.2700’.

Além de suas operações de criptografia, o 2700 deixa duas notas de resgate, denominadas ‘info.txt’ e ‘info.hta’, como parte de seu modus operandi. Essas notas normalmente contêm instruções e exigências dos invasores em relação ao pagamento do resgate pela chave de descriptografia.

Para ilustrar como o 2700 modifica nomes de arquivos, considere os seguintes exemplos: '1.png' pode ser transformado em '1.jpg.id[9ECFA74 oE-3524].[sqlback@memeware.net].2700,' e '2.doc' pode se tornar '2.png.id[9ECFA74E-3524].[sqlback@memeware.net].2700.' Este padrão de renomeação de arquivos mostra o método consistente usado pelo 2700 para anexar informações específicas da vítima aos arquivos criptografados. Os utilizadores que encontrem esta variante de ransomware devem ter cautela e aplicar medidas de segurança adequadas para proteger os seus dados e sistemas. O 2700 Ransomware foi vinculado à família de malware Phobos.

O 2700 Ransomware Extorque Suas Vítimas ao Tomar Dados como Reféns

A nota de resgate associada ao 2700 Ransomware fornece instruções detalhadas para as vítimas estabelecerem contato com os perpetradores através do endereço de e-mail especificado, sqlback@memeware.net, usando um ID exclusivo mencionado no assunto da mensagem. O pedido de resgate, normalmente pago em Bitcoins, varia de acordo com a velocidade de resposta da vítima à nota de resgate.

Para incentivar o cumprimento, a nota oferece uma oportunidade limitada para as vítimas enviarem até 2 ficheiros para desencriptação gratuita, desde que o tamanho total não exceda 2 megabytes e os ficheiros sejam considerados não críticos. As instruções também orientam as vítimas sobre o processo de obtenção de Bitcoins, alertam contra a renomeação de arquivos criptografados e aconselham contra a tentativa de descriptografia com software de terceiros, o que pode resultar na perda permanente de dados.

Significativamente, o 2700 toma ações estratégicas para comprometer as defesas do sistema visado. Desativa o firewall, uma medida de segurança fundamental, enfraquecendo a proteção geral do sistema. Além disso, o ransomware elimina as Shadow Volume Copies, impedindo possíveis caminhos para recuperação de dados. Explorando vulnerabilidades em serviços de Protocolo de Área de Trabalho Remota (RDP), o 2700 obtém acesso não autorizado por meio de força bruta e ataques de dicionário, especialmente em sistemas com credenciais de conta mal gerenciadas.

Além de suas funcionalidades de criptografia e comprometimento, o 2700 apresenta recursos avançados. Ele coleta dados de localização e possui a capacidade de excluir locais específicos predefinidos, aumentando assim sua longevidade e impacto. Estas táticas multifacetadas fazem do 2700 uma ameaça formidável, sublinhando a importância de ter práticas abrangentes de segurança cibernética e de uma maior sensibilização para neutralizar os seus efeitos prejudiciais.

É Fundamental Estabelecer Medidas de Segurança Robustas em Todos os Dispositivos

Proteger dispositivos contra ameaças de ransomware requer uma abordagem abrangente que englobe uma combinação de medidas preventivas e práticas proativas. Aqui estão as medidas essenciais que os usuários devem sempre implementar para proteger seus dispositivos contra ransomware:

• Backups regulares : Criar backups regulares de seus dados importantes em armazenamento externo e offline é crucial. Isso garante que, mesmo que o dispositivo seja comprometido, os usuários possam restaurar os arquivos afetados sem sucumbir aos pedidos de resgate.
• Software de segurança : Instale software antimalware confiável em todos os dispositivos. Em seguida, certifique-se de manter o software atualizado e executar verificações regulares para detectar e remover ameaças potenciais, incluindo ransomware.
• Atualizações de software : Sempre instale novas atualizações para seu software e sistema operacional sempre atualizado com os patches de segurança mais recentes. Atualizações regulares ajudam a eliminar vulnerabilidades que ransomware e outros malwares podem explorar.
• Conscientização sobre segurança de e-mail : Tenha cuidado ao abrir anexos de e-mail ou reagir a links, especialmente em e-mails de fontes desconhecidas ou suspeitas. Esteja atento contra tentativas de phishing, um método comum para iniciar ataques de ransomware.
• Educação do usuário : Eduque você e seus usuários sobre os perigos do ransomware. Treine-os para serem capazes de reconhecer tentativas de phishing, links suspeitos e a importância de não baixar arquivos de fontes não confiáveis.
• Princípio do menor privilégio: Abrace o princípio do menor privilégio. Restrinja os direitos de acesso do usuário apenas ao necessário para sua função, reduzindo o impacto potencial se uma conta for comprometida.
• Segmentação de rede : Execute a segmentação de rede para isolar sistemas críticos do resto da rede. Isso evita o movimento lateral do ransomware dentro de uma rede.

Ao implementar consistentemente estas medidas, os utilizadores podem maximizar significativamente a postura de segurança dos seus dispositivos e minimizar a probabilidade de serem vítimas de ataques de ransomware.

As vítimas do 2700 Ransomware ficam com a seguinte nota de resgate:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail sqlback@memeware.net
Write this ID in the title of your message 9ECFA84E-3524
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is the OKX website. You must register, click "Buy Bitcoins" and select a merchant by payment method and price.
hxxps://okx.com
You can also find other places to buy bitcoins and a beginner's guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by 2700 Ransomware delivers the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: sqlback@memeware.net.'