AES-NI Ransomware

O AES-NI Ransomware é um Trojan Ransomware que parece estar associado ao uso de exploits NSA, divulgados pelo grupo de hackers Shadow Brokers. De acordo com os tweets liberados pelo criador do AES-NI Ransomware, uma vulnerabilidade no servidor do Windows foi usada para instalar o AES-NI Ransomware, um Trojan Ransomware de baixa qualidade. Há uma coisa certa sobre essas afirmações; o AES-NI Ransomware foi responsável por vários ataques em abril de 2017. Entre 10 de abril e 22 de abril, a detecção do AES-NI Ransomware foi de cerca de 0 a 5 sistemas infectados todos os dias, com mais de 100 vítimas até o final de o período da medição. Esse aumento das infecções parece coincidir com o vazamento da vulnerabilidade no Windows. No entanto, os pesquisadores de segurança do PC consideram que essas vulnerabilidades não estão sendo usadas para entregar o AES-NI Ransomware, independentemente das alegações dos vigaristas. O culpado mais provável é o Remote Desktop Protocol (RDP), que pode ser usado para realizar ataques explorando senhas fracas e proteção de segurança insuficiente.

O ataque do AES-NI Ransomware e Suas Conseqüências

Ainda há dúvidas quanto ao modo como o AES-NI Ransomware está sendo entregue às vítimas. No entanto, é claro que uma infecção pelo AES-NI Ransomware está se espalhando principalmente explorando vulnerabilidades na segurança do sistema e não através do uso de anexos de email corrompidos (um método comum usado para entregar outros Trojans Ransomware). Os pesquisadores de segurança do PC tomaram medidas para reduzir os efeitos do ataque do AES-NI Ransomware. Os endereços de e-mail ligados ao ataque do AES-NI Ransomware também foram bloqueados e as operações do AES-NI Ransomware foram dificultadas de várias maneiras pelos pesquisadores de malware.

Uma Rápida Análise da Infecção pelo AES-NI Ransomware

O Trojan AES-NI Ransomware existe pelo menos desde dezembro de 2016 e também pode ser detectado como o AES Ransomware ou o AES256 Ransomware, pois ele usa vários codinomes em seu ataque. A nota de resgate associada à atual variante do AES-NI Ransomware afirma que essa versão é a "EDIÇÃO DE EXPLORAÇÃO NSA" e solicita um resgate de 1.5 BitCoins (aproximadamente US $ 1800 à taxa de câmbio atual), também alegando descriptografar arquivos gratuitamente para usuários de computadores localizados em países que foram membros da União Soviética. O ataque do AES-NI Ransomware é forte, e não há como recuperar os arquivos criptografados pelo AES-NI Ransomware a não ser restaurando-os de um backup. Os pesquisadores de segurança do PC aconselham fortemente os usuários de computador a terem backups dos seus arquivos para anular os efeitos do AES-NI Ransomware e de outros ataques de ransomware.

O que se segue é a nota de resgate associada a esse ataque:

'==========================# AES-NI Ransomware #==========================
█████╗ ██████╗██████╗ ███╗ ██╗ ██╗
██╔═██╗██╔═══╝██╔═══╝ ████╗ ██║ ██║
██████║█████╗ ██████╗███╗██╔██╗██║ ██║
██╔═██║██╔══╝ ╚═══██║╚══╝██║╚████║ ██║
██║ ██║██████╗██████║ ██║ ╚███║ ██║
╚═╝ ╚═╝╚═════╝╚═════╝ ╚═╝ ╚══╝ ╚═╝
DESCULPE! Seus arquivos estão criptografados.
O conteúdo do arquivo é criptografado com uma chave aleatória (AES-256 bit; modo ECB).
A chave aleatória é criptografada com a chave pública RSA (2048 bits).
RECOMENDAMOS FORTEMENTE NÃO usar quaisquer "ferramentas de descriptografia".
Essas ferramentas podem danificar os seus dados, tornando a recuperação IMPOSSÍVEL.
Também recomendamos que você não entre em contato com empresas de recuperação de dados.
Eles apenas entrarão em contato conosco, comprarão a chave e a venderão por um preço mais alto.
Se você deseja descriptografar os seus arquivos, você deve obter a chave RSA privada.
Para obter a chave privada, escreva aqui:
0xc030@protonmail.ch
Também há uma maneira rápida de entrar em contato conosco.
Se você está familiarizado com o Jabber, escreva-nos para JID: zooolo@darknet.nz (é Jabber, e não o endereço de e-mail).
Você pode obter a conta Jabber, por exemplo, no https://www.xmpp.jp/signup
IMPORTANTE: em alguns casos, os pesquisadores de malware podem bloquear os nossos e-mails.
Se você não recebeu nenhuma resposta por e-mail em 48 horas,
não entre em pânico e escreva para o endereço BitMsg (https://bitmsg.me):
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
ou crie tópico no https://www.bleepingcomputer.com/ e nós o encontraremos lá.
Também será melhor se você baixar o navegador do Tor por aqui: https://www.torproject.org/download/download-easy.html.en
Faça o download, instale e execute-o; então visite o nosso site (pelo navegador do Tor): http://kzg2xa3nsydva3p2.onion/index.php
Não visite esse site pelo navegador padrão: ele simplesmente não será aberto. Você precisa do navegador do Tor para abrir os sites .onion.
Existe um formulário, você pode nos escrever lá se todos os e-mails estiverem bloqueados e entraremos em contato com você muito rapidamente.
Se outra pessoa lhe oferecer a restauração dos arquivos, peça a ela um teste de decodificação.
Só nós podemos descriptografar com sucesso os seus arquivos; Sabendo disso pode protegê-lo de fraudes.
Você receberá instruções sobre o que fazer a seguir.
Você DEVE se referir a este ID em sua mensagem:
PC#EB53D6F20CF4C8BDCFD536DE4B29906C
Além disso, você DEVE enviar todos os arquivos ".key.aes_ni" do C:\ProgramData se houver algum.
==========================# AES-NI Ransomware #=========================='

Prevenindo os Ataques do AES-NI Ransomware

Se esse Trojan ransomware estiver realmente sendo entregue usando as explorações NSA vazadas, então é crucial instalar todos os remendos de segurança e ter backups dos arquivos. Uma senha forte uma proteção de segurança efetiva podem impedir os ataques que permitem que os vigaristas instalem essas ameaças nos computadores das vítimas.

SpyHunter detecta e remove AES-NI Ransomware