Aviso Ransomware

Os pesquisadores de malware da Universidade de Valência apresentaram um estudo sobre o Aviso Ransomware em outubro de 2016, que cobria uma variante do TorrentLocker. O Aviso, um Trojan de criptografia, foi escrito na linguagem de programação AutoIt. O que chamou atenção na nova variante é o e-mail spam usado para entregar a ameaça aos usuários. Há relatos de que o Aviso Ransomware é entregue como 'ENDESA_FACTURA.zip', que é apresentado aos usuários como um projeto de lei da Endesa S.A. A criptografia do Trojan Aviso parece ter como alvo os usuários do Windows da Espanha, predominantemente, e pode ser um programa de construção personalizada que está sendo testado localmente antes de ser distribuído globalmente.

Os fornecedores de AV podem rotular o Trojan Aviso sob o nome de Crypt888 Ransomware. Os programadores por trás do Aviso Ransomware podem estar usando um certificado digital roubado, emitido para a Endesa S.A. e ignorar o código de verificação de assinatura. O Windows 7 e versões posteriores desse sistema operacional dispõem de um mecanismo de segurança que verifica o certificado digital de qualquer arquivo que você executar. Essa funcionalidade é complementada por programas de AV, fazendo uma análise passiva de código em segundo plano. No entanto, o Aviso Ransomware apresenta camadas de obscurecimento que podem permitir que ele passe despercebido e opere no sistema por um período prolongado. O Crypt888 Ransomware está programado par ter como alvo os armazenadores de dados usados comumente, tais como:

.3GP, .7Z, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .KEY, .MDB .MD2, .MDF, .MHT, .MOBI .MHTM, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RAR, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .CKP, ZIP, .JAVA, .PY, .ASM, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DB3, .SQL, .SQLITE3, .SQLITE, .SQLITEDB, .PSD, .PSP, .PDB, .DXF, .DWG, .DRW, .CASB, .CCP, .CAL, .CMX, .CR2.

A Trojan de criptografia Aviso não é muito diferente do APT Ransomware e do Deadly Ransomware. O Aviso Ransomware combina os padrões de criptografia AES e RSA para bloquear os arquivos do usuário de forma eficiente. Os pesquisadores de segurança revelaram que o Aviso Ransomware foi programado para criptografar os arquivos armazenados em unidades locais e não é capaz de codificar dados em redes compartilhadas no momento em que este artigo foi escrito. Você pode reconhecer os arquivos afetados pelo prefixo 'Lock.', que é colocado antes do nome do arquivo. Por exemplo, 'sand_casttle.png' vai ser transcodificado para 'Lock.sand_casttle.png'. O bilhete de resgate está disponível em alguns idiomas, incluindo italiano, espanhol, Português, checo e inglês. Exemplos das notas de resgate podem ser encontrados abaixo:

• Variante 1:

'Olá
Você roubou 48.48 BTC de pessoas erradas, por favor tenha a gentileza de retorno deles e nós retornará seus arquivos.
Não nos leve para os tolos, sabemos mais sobre você do que você sabe sobre si mesmo.
Nos pagar e não vai tomar Providência, não pagar e estar preparados.
[34 caracteres aleatórios]'

• Variante 2:

'Olá Sr(a),
TODOS os seus arqurvos foram BLOQUEADOS e esse bloqueio somente ser á DESBLOQUEAdo caso pague o valor de RS 2000.00 (Dois Mil Reais) em Bitcoons Após o pagamento desse valor, basta me enviar um pnnt para o email_
infomacaonh@gmail.com
que estarei lhe enviando o programa com a senha para descryptografar/desbloquear o seus arquivos.
Caso o pagamento nao seja efetuado, todos os seus dados serao bloqueados
permanentemente e o seu computador será totalmente formatado
(Perdendo assim, todas as informa ções s contidas nele, incluindo senhas de email, bancarias...) O pagamento deverá ser efetuado nesse endereco de Bitcoin
[34 caracteres aleatórios]'

Ameaças como o Aviso Ransomware (Crypt888) tendem a receber atualizações no futuro que expandem as suas capacidades, e nós esperamos ver um código melhorado. Os usuários que estão infectados pelo o Aviso Ransomware podem encontrar um novo documento de texto em suas áreas de trabalho, que inclui informações tais como o número de ID e o e-mail para contato. Os especialistas em segurança não recomendam pagar o resgate ou entrar em contato com os operadores do Aviso Ransomware. Neste momento, não existem relatos sugerindo que as vítimas estejam recebendo um descriptografador ou que foram capazes de desbloquear os seus arquivos pagando o resgate. Os usuários de computador podem explorar técnicas mais seguras para restaurar os seus dados. Você deve usar um aplicativo anti-malware confiável para excluir o Aviso Ransomware e impedir a sua execução da próxima vez que o sistema for inicializado. Armazenadores baseado na nuvem, tais como o Google Drive e o Dropbox pode ser inestimáveis quando você precisar se recuperar de um ataque pelo Aviso Ransomware. A melhor fonte de backups são as unidades removíveis HDD e SSD que são muito pouco prováveis de serem comprometidas por ameaças como o Aviso Ransomware.

SpyHunter detecta e remove Aviso Ransomware