Bonsoir Ransomware

O Bonsoir Ransomware é um Trojan de bloqueio de arquivo que não faz parte de uma família conhecida ou Ransomware-as-a-Service. Coloca em risco o acesso dos usuários aos seus arquivos de mídia, como documentos, ao criptografá-los e exige um resgate por meio de um site TOR para descriptografá-los. Precauções de backup adequadas podem anular a maioria dos efeitos de infecção e produtos de segurança bem mantidos devem remover o Bonsoir Ransomware imediatamente.

Uma Noite não Muito Boa para Encontrar Trojans

Um Trojan independente de bloqueio de arquivos que pensa ter as forças para competir com enormes famílias de Ransomware como serviço aparece à solta, com as vítimas enviando amostras no início de janeiro. O Bonsoir Ransomware tem muitas das normas de comportamento e configuração de infraestrutura que os especialistas em malware vinculam a negócios RaaS bem mantidos. Isso apenas mostra que o polimento é uma qualidade apreciável na extorsão, mesmo quando o Trojan que o fornece é novo.

O Bonsoir Ransomware é uma ameaça do Windows que usa AES-256, um dos algoritmos de criptografia mais populares entre os Trojans, para bloquear arquivos. Os analistas de malware colocam a maioria dos formatos de arquivo relacionados à mídia digital em risco dessa rotina de bloqueio, incluindo documentos, imagens, planilhas e música. O Trojan também define uma extensão 'bonsoir' em seus nomes - a frase francesa para 'boa noite'.

No entanto, a nota de resgate do Bonsoir Ransomware, um arquivo TXT, é em inglês. Recomenda que as vítimas acessem o site anônimo do TOR, que fornece mais instruções sobre o resgate. O resgate do Bonsoir Ransomware não é diferente de outrosTrojans da época, em US $1.790 em Bitcoins, uma soma adequada para usuários domésticos ou empresas menores. Embora o ator da ameaça afirme que a disponibilidade do descriptografador é automatizada, os especialistas em malware ainda não verificaram essa afirmação e, como sempre, não recomendam o pagamento.

Um 'Au Revoir' Apropriado para Trojans que Molestam Arquivos

O fato de o Bonsoir Ransomware diferir em sua carga útil de ameaças semelhantes mal é uma boa demonstração da potência aparentemente infinita da criptografia como ferramenta de bloqueio de dados e um indicador de que os usuários consideram sua segurança garantida. Os usuários do Windows que fazem backup de seus arquivos em outros dispositivos podem garantir uma recuperação sem envolver o resgate ou quebrar uma rotina de criptografia possivelmente inquebrável. Os atores de ameaças não correm o risco de recusar sua ajuda, graças às opções de reembolso limitadas com cripto moedas, como a preferência Bitcoin declarada do Bonsoir Ransomware.

Embora a campanha do Bonsoir Ransomware esteja ao vivo, os pesquisadores de malware não podem verificar seus métodos de infecção atuais. Os usuários podem correr o risco de vulnerabilidades de software desatualizado (consulte CVE-2017-11882 do Microsoft Office para um exemplo) que podem ser evitadas com os correções apropriadas. Também há uma grande chance de invasores invadirem servidores com senhas fracas, aplicando força bruta, propagando torrents ou enviando anexos de e-mail disfarçados aos funcionários.

Os backups são úteis para recuperação, se não necessariamente para prevenir infecções. Para este último, os usuários devem instalar uma marca comprovada de solução de segurança cibernética para detectar e remover o Bonsoir Ransomware, antes que sua criptografia seja iniciada de maneira ideal.

O Bonsoir Ransomware tem marcas de negócios não muito diferentes do NEFILIM Ransomware, do AES-Matrix Ransomware ou de um Ransomware como serviço 'público'. Com mais uma fonte de bloqueio de dados entrando no cenário de ameaças, os usuários do Windows têm mais perigos do que ontem que valem a pena ser evitados.