Cr1ptT0r Ransomware

O Cr1ptT0r Ransomware é um Trojan ransomware de criptografia que parece ter como alvo dispositivos NAS (Network Assigned Storage) especificamente. Eles são normalmente ligados a servidores usando o sistema operacional Linux. O Cr1ptT0r Ransomware foi distribuído aproveitando o roteador DNS-320 desenvolvido pela D-Link. As várias vulnerabilidades associadas a esse roteador significaram que ele foi descontinuado, embora ainda esteja em uso por muitos usuários de computador. Em 2018, um backdoor embutido nesse roteador foi observado, o que pode permitir que os hackers obtenham acesso não autorizado à rede da vítima. A última vez que o firmware foi atualizado para este dispositivo foi em 2016, de modo que esse backdoor permanece como uma vulnerabilidade significativa para esses dispositivos, tornando-os suscetíveis a muitos ataques.

Como o Cr1ptT0r Ransomware Ataca um Computador

Os criminosos irão distribuir o binário corrompido do Cr1ptT0r Ransomware através do roteador comprometido que visa o armazenamento NAS no processo. Uma vez que o Cr1ptT0r Ransomware tenha acesso ao dispositivo da vítima, ele usa um algoritmo de criptografia forte para criptografar os arquivos da vítima, tornando-os inacessíveis. Isso é típico de como os Trojans ransomware de criptografia funcionam, tornando os arquivos da vítima inacessíveis e, em seguida, exigindo o pagamento de um resgate para restaurar os dados comprometidos. Exemplos dos arquivos que são tipicamente visados pelos ataques como o do Cr1ptT0r Ransomware incluem:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, .qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, .cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

O Cr1ptT0r Ransomware adiciona a string '_Cr1ptT0r_' a cada arquivo comprometido. O Cr1ptT0r Ransomware também lançará um arquivo de texto chamado '_FILES_ENCRYPTED_README.txt' em vários locais no computador infectado. A nota de resgate do Cr1ptT0r Ransomware está contida neste arquivo de texto, e diz o seguinte:

'Todos os seus arquivos foram criptografados usando criptografia forte!
Para mais informações visite o nosso site: https://openbazaar.com/store/home/QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq
Se o site não estiver disponível, você precisa baixar o aplicativo OpenBazaar em: https://openbazaar.org/download/
Você pode, então, visitar a loja através desta url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store
Também podemos ser acessados por meio desses sotwares de mensagens instantâneas:
toxchat: https://tox.chat/download.html
ID do usuário: [caracteres aleatórios]
bitmessage: https://bitmessage.org/wiki/Main_Page
ID de usuário: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Atenciosamente da equipe Cr1ptT0r.'

Lidando com um Ataque do Cr1ptT0r Ransomware

Os criminosos responsáveis pelo ataque do Cr1ptT0r Ransomware exigem o pagamento de um resgate de US $1200, se oferecendo para decodificar arquivos individuais por US $20. As vítimas são fortemente aconselhadas contra o pagamento de qualquer resgate, uma vez que isso serve para apoiar os criminosos na distribuição de ameaças como o Cr1ptT0r Ransomware. É especialmente necessário que os usuários de computador tomem medidas para proteger os seus dispositivos e se abstenham de usar o roteador DNS-320, já que ele tem sido o vetor de várias ameaças além do Cr1ptT0r Ransomware.