Blackout Ransomware

O Blackout Ransomware é um programa codificador de arquivos que foi desenvolvido pelos criadores de ameaças com o objetivo de codificar arquivos em um computador remoto e oferecer programas de decodificação por um preço baseado em Bitcoins. O Blackout Ransomware é classificado como um Trojan codificador de arquivos que pode ser transmitido através de emails spam para os usuários que utilizam o sistema operacional do Windows. Sabe-se que a carga da ameaça é incluída em um arquivo DOCX. Os emails que carregam o instalador do Blackout Ransomware podem se disfarçar como faturas, contas a pagar, notificação de entregas ou bilhetes de loteria. Os usuários de PC devem estar sempre atentos ao navegar em pastas de spam e ignorar os arquivos enviados por endereços desconhecidos. O Blackout Ransomware tem como alvo os usuários normais de PC, e os operadores da ameaça podem expandir a sua campanha para incluir pequenas empresas.

Os autores do Blackout Ransomware afirmam que o seu produto é um “programa de código aberto” mas nós não descobrimos o código do Trojan sendo enviado para qualquer repositório de código online. O Blackout Ransomware pode ser um trabalho em andamento e os seus autores podem pretender lança-lo em uma campanha de ‘Ransomware-como-Serviço’ similar ao RaaSberry Ransomware, que foi detectado alguns dias antes das amostras do Blackout serem coletadas. No momento em que este artigo foi escrito, o Blackout Ransomware estava sendo executado como 'iudorki.exe' e 'blackout.exe.' Os dois programas são variantes do Blackout Ransomware, que foi programado para codificar os armazenadores de dados utilizando os algoritmos criptográficos AES e RSA, desenvolvidos de forma customizada. Os usuários comprometidos pelo Blackout Ransomware perceberam que os seus documentos de texto, apresentações, planilhas, músicas e vídeos se tornaram inacessíveis e apresentam nomes estranhos. A ameaça foi desenvolvida para executar a codificação base 64 nos nomes dos arquivos criptografados ao invés de marcar os nomes e adicionar novas extensões, que é como o '.micro Extensão de Arquivo' Ransomware se comporta. A mensagem de resgate é mostrada na Área de Trabalho do Microsoft Notepad app como 'README_[NÚMEROS ALEATÓRIOS]_[NÚMEROS ALEATÓRIOS].txt,' que significa:

'Os seus arquivos foram criptografados ransomware!
O seu ID pessoal:
[CARACTERES ALEATÓRIOS]
ACORDO DE LICENÇA
O Blackout Ransomware é um program grátis de código aberto.
O programa foi desenvolvido para testar a proteção do SO do Windows contra ransomware.
O desenvolvedor deste software não é responsável por qualquer dano causado pelo programa.
O programa é experimental e toda a responsabilidade pela sua utilização é do usuário final.
COMO UTILIZAR:
Para decodificar os seus arquivos, você precisa do programa blackout_decryptor.exe
Caso você não tenha esse programa, escreva para o e-mail: blackzd@derpymail.org ou blackzd@xmail.net
Na mensagem, envie o seu ID pessoal e dois arquivos pequenos criptografados para o teste de descriptografia.
Se você não receber uma resposta do blackzd@derpymail.org ou do blackzd@xmail.net em 72 horas, você precisa instalar o navegador Tor, que pode ser baixado aqui:
hxxps://www.torproject.org/download/download.html.en
Após a instalação, abra o website:
hxxp://mail2tor2zyjdctd.onion/register.ph no navegador.
Registre no website um novo endereço de e-mail e escreva-nos com esta mensagem para o nosso endereço:
blackoutsupport@mai12tor.com
NN:[NÚMEROS ALEATÓRIOS]'

Como você pode ver, os operadores da ameaça estão gerenciando três endereços de e-mail que as vítimas devem contatar para obter o programa de descriptografia. As contas blackzd@derpymail.org, blackzd@xmail.net e blackoutsupport@mai12tor.com, já foram suspensas, e o Blackout Ransomware pode utilizar outras contas para entrar em contato com os usuários. Nós não recomendamos fazer contato com os autores da ameaça porque eles podem não lhe ajudar mesmo que você faça o devido pagamento, o qual pode variar entre umas poucas centenas de dólares até mais de mil dólares. Os especialistas em segurança do PC avisam que é impossível descriptografar os dados corrompidos, mas que isso não significa que não haja solução. Os usuários de PC que possuem backups podem reconstruir a estrutura dos seus arquivos. Serviços como o Dropbox, o Google Drive, o Mega e outros possuem uma função de backup automática, que você deve pensar em utilizar. Deve-se limpar o sistema afetado pelo Blackout Ransomware com a ajuda de um programa anti-malware confiável. Os mecanismos AV são conhecidos por detector os arquivos relacionados ao Blackout Ransomware como:

• Artemis!1293FBF18F80
• BehavesLike.Win32.PUPXAU.dc
• Ransom.BlackOut
• Ransom.CryptXXX
• Ransom.Cryptxxx.Gen!c
• Trojan/W32.Agent.219648.IG
• W32.Rogue.Gen
• malicious_confidence_100% (W)