AvosLocker Ransomware

Os pesquisadores de Infosec descobriram uma nova operação de ransomware que chamaram de AvosLocker. O grupo de hackers parece ter se tornado ativo por volta de junho de 2021 e, em apenas alguns meses, conseguiu acumular várias vítimas. Os cibercriminosos divulgam os nomes de suas vítimas em um site dedicado a vazamentos hospedado na rede Tor. O site contém duas seções - 'Anúncios de utilidade pública' e 'Vazamentos'. Todas as entidades violadas juntamente com a prova dos dados coletados delas são exibidas na página 'Anúncio de serviço público'. O grupo AvosLocker está usando campanhas de e-mail de spam disseminando e-mails de isca, bem como anúncios corrompidos, tais como vetores de infecção iniciais para a entrega da ameaça de ransomware.

Detalhes do AvosLocker Ransomware

A ameaça de ransomware implantada é escrita em C ++ e utiliza uma versão personalizada do algoritmo criptográfico AES-256 para bloquear os arquivos armazenados nos sistemas violados. O malware é projetado para infectar máquinas Windows e não será executado em outras plataformas. Como parte de seus recursos de ameaça, o AvosLocker Ransomware pode excluir as Cópias do Shadow Volume dos arquivos afetados, bem como encerrar aplicativos específicos que podem interferir no processo de criptografia. Ao criptografar um arquivo, AvosLocker anexa '.avos' ao nome original desse arquivo como uma nova extensão. Como a maioria das ameaças desse tipo, o AvosLocker Ransomware também oferece uma nota de resgate com instruções para suas vítimas. A mensagem é descartada como um arquivo de texto denominado 'GET_YOUR_FILES_BACK.txt.'

O Pedido de Resgate do AvosLocker

Acontece que a própria nota de resgate contém poucas informações úteis. Na maioria das vezes, apenas incentiva as vítimas da ameaça a visitar um site do TOR para obter todas as instruções adicionais. Seguir o link fornecido e inserir o ID específico da vítima leva a uma página de 'pagamento'. Aqui, as vítimas podem ver uma contagem regressiva que mede o tempo restante antes que a soma exigida pelos hackers seja dobrada. O resgate deve ser transferido usando a cripto-moeda Monero.

No entanto, antes de pagar, as vítimas podem fazer o upload de um arquivo de amostra para o site, para testar a capacidade do hacker de descriptografar os dados bloqueados. A página da Web também inclui um chat de suporte por meio do qual os usuários afetados podem supostamente entrar em contato com os hackers do AvosLocker.

Não é recomendável pagar qualquer quantia aos operadores de ransomware. Os usuários podem estar se expondo a riscos de segurança adicionais enquanto financiam a próxima operação ameaçadora dos cibercriminosos no processo.