Black Worm Ransomware

O Black Worm Ransomware é um Trojan de criptografia de arquivos que foi notado por pesquisadores de segurança de computadores em 14 de dezembro de 2018. O Black Worm Ransomware chamou a atenção dos pesquisadores quando os usuários de PC relataram dados criptografados depois de baixar um arquivo do que parecia ser um Discord. plataforma de conteúdo. O Discord é um serviço social destinado principalmente aos jogadores. O serviço é muito popular e uma de suas principais vantagens é que ele permite o fácil compartilhamento de arquivos. Os usuários podem arrastar e soltar arquivos na janela do Discord e adicionar comentários facilmente. Os arquivos compartilhados são acessíveis via Internet e podem ser baixados sob demanda. O Discord está usando criptografia segura e um domínio dedicado para manipular os dados compartilhados.

O URL correto do Discord é assim:

https://media.discordapp.net/attachments/[18-digit number]/[número de 18 dígitos]/[nome do arquivo original]. [extensão do arquivo original]

No entanto, os links usados para distribuir o Black Worm Ransomware são assim:

http://cdn.discordapp.com/attachments/[18-digit number]/[número de 18 dígitos]/[payload.exe]

O domínio é diferente e a conexão é insegura, mas muitos usuários podem não perceber essas pequenas diferenças. Descobriu-se que os atores de ameaças usavam o IP 104.16.9.231 para distribuir seus malwares a possíveis vítimas e usar vários nomes de arquivos. Os pesquisadores alertam que o Black Worm Ransomware pode estar compactado em programas que parecem truques para jogos como Roblox, cópias rachadas dos ativadores do Adobe Photoshop e do Windows OS. Esses programas geralmente são executados quando a maioria dos usuários tem suas soluções anti-vírus desativadas, para que não possam interferir. Uma vez carregado o Black Worm Ransomware, ele pesquisaria as unidades de memória local em busca de dados direcionados e codificaria o conteúdo disponível rapidamente. O Black Worm Ransomware é conhecido por anexar o sufixo '.bworm' aos nomes dos arquivos e algo como 'Johns Hopkins Glacier.jpeg' é renomeado para 'Johns Hopkins Glacier.jpeg.bworm'. A ameaça deixa uma pequena nota aleatória chamada 'READ_IT.txt' na área de trabalho. A mensagem anexada diz:

'[AVISO]
Seus arquivos foram criptografados com o Black Worm RansomWare
Enviar 200 $ de bitcoins para o meu endereço Bitcoin
Endereço Bitcoin:
[Sequência de 34 caracteres] '

Infelizmente, não há um decodificador ativo disponível para os usuários, a menos que paguem uma taxa aos atores do Ransomware. Você pode reconstruir sua estrutura de arquivos usando backups de dados, emails e serviços de hospedagem de arquivos. O cumprimento dos termos do resgate não é incentivado, pois você pode perder seu dinheiro. Os mecanismos AV suportam regras de detecção para o Black Worm Ransomware, e você não deve desativar sua proteção contra vírus ao acessar um software potencialmente ameaçador. Os nomes de detecção para o Black Worm Ransomware incluem:

Backdoor.MSIL.Bladabindi.AG@7q5fmv
BehavesLike.Win32.PUPXAA.qm
Gen: Heur.Ransom.REntS.Gen.1
MSIL: agente-CIB [Trj]
Ransom.Ryzerlo! 8.782 (NUVEM)
Ransom.Win32.BLACKWORM.THABAGAH
Trojan (0044fb7e1)
Trojan.Win32.S.Agent.52736.BBV
Trojan.YakbeexMSIL.ZZ4
Trojan / RL.Generic.R243108
Inseguro.AI_Score_88%
malicioso_confiança_100% (W)