ChineseRarypt Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 100 % (Alto) |
| Computadores infectados: | 12 |
| Visto pela Primeira Vez: | July 12, 2019 |
| Visto pela Última Vez: | September 5, 2019 |
| SO (s) Afetados: | Windows |
O ChineseRarypt Ransomware é um Trojan que bloqueia arquivos e foi detectado pelos pesquisadores de malware recentemente. Essa ameaça de ransomware não é uma variante de nenhuma das ameaças populares de ransomware.
Inicialmente, os pesquisadores acreditavam que essa ameaça de ransomware não é uma variante de nenhuma das ameaças populares de ransomware. No entanto, agora algumas fontes afirmam que o ChineseRarypt Ransomware pertence à família do Djvu Ransomware. Até o momento, sabe-se que esse ransomware afeta apenas computadores com o sistema operacional Windows.
Índice
Vetores de Distribuição
Os especialistas em segurança cibernética não conseguiram confirmar quais vetores de infecção foram empregados na disseminação do ChineseRarypt Ransomware. No entanto, alguns especulam que os cibercriminosos responsáveis pelo ChineseRarypt Ransomware estão usando campanhas de email de spam, juntamente com atualizações de software falsas e provavelmente aplicativos piratas corrompidos para espalhar sua criação. Além disso, o ransomware também pode ser empacotado com freeware ou ocultar dentro de torrents. Caso contrário, anúncios ou ofertas suspeitas na Internet também podem levar a páginas corrompidas infectadas por ameaças de malware.
Há evidências de que o ChineseRarypt entrou nos sistemas por meio de outro software. Alguns dos programas e aplicativos conhecidos por espalhar este ransomware são: PasteFiler 1.2.1, Duke Nukem 3D 1.1, McSerialnumber Pro 1.0, viJournal Lite 2.5.2, Motion v5.1, iTunes Playlist Changer 1.2.2, Automator Multi- Utilitário de processamento de itens 1.0, Configurações ocultas 0.8.5, ColorConverter 2.14.1120, Ultranium4 1.5, AKVIS ArtWork, Fantashow, SpeedRun 1.2, BF1942 Launcher 1.0, ProteinGlimpse 1.5. Se você tiver alguma dessas ferramentas instaladas no seu PC, remova-a imediatamente. Parece que o malware também está disponível como um Ransomware como serviço (RaaS) em fóruns de hackers subterrâneos.
Como Funciona
Imediatamente após obter acesso a um sistema, o ChineseRarypt inicia uma verificação para detectar a localização dos arquivos que serão direcionados para criptografia. Como é típico para ameaças de ransomware, o Rarypt chinês direciona arquivos de todos os formatos populares que provavelmente conterão valiosos para os dados pessoais da vítima, como documentos de texto, fotos e vídeos. Por outro lado, os arquivos cruciais para o bom funcionamento do sistema operacional devem permanecer inalterados.
Em vez de criptografar cada arquivo individualmente, como a maioria das outras ameaças de ransomware, o ChineseRarypt primeiro coloca todos os dados em um arquivo protegido por senha e depois criptografa o arquivo inteiro. Em alguns casos, o malware exclui pastas que contêm dados arquivados para que os arquivos não possam ser recuperados, enquanto em outros casos os pesquisadores afirmam que o usuário pode acessar os arquivos depois de pagar a quantia necessária de resgate. A pesquisa mostra que os arquivos criptografados por este ransomware se tornam as extensões ".Chineserarypt" ou ".Grovas".
Após a conclusão da criptografia, o ChineseRarypt Ransomware descarta uma nota de resgate chamada "HOW_TO_BACK_YOUR_FILES.txt". Os autores do malware usaram todos os limites para nomear a nota, que é uma tática comum usada pelos autores de ransomware, pois reduz as chances de a vítima acabar ignorando sua mensagem de resgate. O ChineseRarypt Ransomware copia o estilo do famoso Maoloa Ransomware:
"SEUS ARQUIVOS ESTÃO CODIFICADOS !!!
PARA DECODIFICAR, SIGA AS INSTRUÇÕES:
Para recuperar dados, você precisa da ferramenta de descriptografia.
Para obter a ferramenta de descriptografia, você deve:
1. Na carta, inclua seu ID pessoal! Envie-me este ID em seu primeiro e-mail para mim!
2.Nós podemos oferecer um teste gratuito para descriptografar alguns arquivos (NÃO VALOR) e atribuir o preço para descriptografar todos os arquivos!
3. Depois de enviarmos instruções sobre como pagar pela ferramenta de descriptografar e após o pagamento, você receberá uma ferramenta de descriptografia!
4.Podemos descriptografar alguns arquivos com qualidade, a evidência de que temos o decodificador.
NÃO TENTE FAZER ALGO COM SEUS ARQUIVOS POR SI MESMO QUE VOCÊ VAI TRAVAR SEUS DADOS !!! SOMENTE SOMOS PODEMOS AJUDÁ-LO! CONTATE-NOS:
Decryptcn@protonmail.ch
ATENÇÃO !!! ESTE É O SEU ID PESSOAL QUE VOCÊ PRECISA ENVIAR EM PRIMEIRA CARTA:
s2 1r xx A2 Jd Bj An Px hg 7C rj no LE BC s2 a6
26 1c 23 0s ku Fr KV OF 10 IV VX hz fE YK p + KJ
*** "
Os atacantes se oferecem para desbloquear alguns arquivos gratuitamente, desde que não tenham valor. Eles não mencionam qual é a taxa do resgate, mas fornecem um endereço de e-mail no qual o usuário do PC deve entrar em contato - "Decryptcn@protonmail.ch". Outros endereços de email relacionados aos cibercriminosos por trás do ChineseRarypt incluem merosa@firemail.cc e merosa@india.com. Algumas amostras analisadas sugerem que o valor do resgate solicitado por essa ameaça varia entre US $480 e US $980 em Bitcoins.
Detalhes técnicos disponíveis
ChineseRarypt usa o algoritmo RSA-2048 para criptografar arquivos na máquina infectada. De acordo com algumas análises de especialistas em segurança cibernética, o ransomware se instala na pasta C:\Arquivos de Programas, enquanto seus arquivos maliciosos também podem ser encontrados nos caminhos %TEMP%,%USERPROFILE%\Downloads e% USERPROFILE%\Desktop. O executável pode, em alguns casos, ser encontrado sob o nome "ChineseRarypt Ransomware.exe" na pasta Arquivos de Programa. Outros dados publicados indicam que alguns dos arquivos infectados pelo ChineseRarypt são wmdmps.dll 11.0.5721.5145, System.Web.Extensions.Design.ni.dll 3.5.30729.5420, basecsp.dll 6.0.6001.18000, WpdMtpUS.dll 6.0.6001.18000, Microsoft .Build.Engine.dll 2.0.50727.5420, winnsi.dll 6.0.6001.18000 ,, dfrgsnap.dll 5.1.2600.1106, wmiprov.dll 5.1.2600.5512, System.ni.dll 2.0.50727.1434, tlntsvrp.dll 5.1.2600.1106.
Os Operadores do ChineseRarypt Ransomware Nunca são Confiáveis
É aconselhável que você não entre em contato com os criadores do ChineseRarypt Ransomware. Esses indivíduos costumam induzir os usuários a pagá-los e acabam não cumprindo a parte final do acordo. Uma solução mais segura é baixar e instalar um aplicativo antivírus respeitável, que limpará o ChineseRarypt Ransomware do seu PC. Os arquivos criptografados pelo ChineseRarypt podem ser recuperados somente após a limpeza do sistema infectado com a ajuda de uma ferramenta profissional de remoção de malware.
SpyHunter detecta e remove ChineseRarypt Ransomware
Detalhes Sobre os Arquivos do Sistema
| # | Nome do arquivo | MD5 |
Detecções
Detecções: O número de casos confirmados e suspeitos de uma determinada ameaça detectada nos computadores infectados conforme relatado pelo SpyHunter.
|
|---|---|---|---|
| 1. | file.cmd | f18b3b2dc6556d60663d70ac411c0ac8 | 6 |
