ColdLock Ransomware

O ColdLock Ransomware é um novo Trojan de bloqueio de arquivos que foi detectado pelos pesquisadores de segurança cibernética recentemente. O ColdLock Ransomware é um Trojan de bloqueio de dados muito sofisticado, que parece apenas atingir empresas. Por enquanto, o ColdLock Ransomware foi implantado em várias empresas localizadas em Taiwan. No entanto, podemos ver uma expansão no alcance desse Trojan de criptografia de arquivos no futuro. A maioria dos dados afetados estava relacionada aos bancos de dados e servidores de email das empresas.

Propagação e Criptografia

Os pesquisadores de segurança cibernética acreditam que os autores do ColdLock Ransomware podem estar usando RDPs vulneráveis (Protocolos da Area de Trabalho Remota) para plantar manualmente a ameaça nos sistemas visados. Quando o ColdLock Ransomware é plantado no host de destino com êxito, ele verifica o conteúdo do sistema. O ColdLock Ransomware é programado apenas para atingir certos tipos de arquivos relacionados a trabalho - isso é bastante incomum, pois a maioria das ameaças de ransomware visa todos os arquivos para garantir o máximo dano. Em vez de criptografar arquivos de mídia como músicas, filmes e vídeos, o ColdLock Ransomware procura por bancos de dados, arquivos, documentos e arquivos que contêm .JAVA, .HWP, .PHP, .HTML, .SH e outras extensões relacionadas.

A Nota de Resgate

O ColdLock Ransomware deixa quatro mensagens de resgate no sistema do alvo. Três dos quatro arquivos que contêm a mensagem dos invasores são denominados 'Como desbloquear o arquivo.txt', enquanto o quarto é chamado de 'readme.tmp'. O último é colocado no diretório% APPDATA%. O ColdLock Ransomware também altera o papel de parede do usuário, configurando uma imagem que direciona o usuário para a nota de resgate denominada 'Como desbloquear o arquivo.txt'. Vítimas diferentes relatam pequenas diferenças na mensagem de resgate que receberam. Parece que cada vítima recebe um endereço de email exclusivo. Dois dos endereços de email relatados associados ao ColdLock Ransomware são 'AleksanderEmelianenko@protonmail.com' e 'AleksanderEmelianenko@tutanota.com'.

Os invasores não oferecem prova de que são capazes de recuperar os dados criptografados. Também não há menção à taxa de resgate exigida. Tendo em mente a essência dos ataques e os objetivos de alto perfil, é provável que os autores do ColdLock Ransomware estejam com uma quantia muito alta em mente, provavelmente na casa dos milhares de dólares. É aconselhável evitar negociar com ou pagar cibercriminosos. Em vez disso, use uma solução anti-vírus confiável que remova o ColdLock Ransomware do seu sistema definitivamente.