CROWN Ransomware

Os esquisadores em segurança cibernética sempre vigilantes, detectaram uma nova ameaça de ransomware no início de julho de 2019. Este novo Trojan de criptografia de dados chama-se CROWN Ransomware. O CROWN Ransomware não parece ser uma variante de nenhuma das ameaças de ransomware mais notórias.

Infectando o Seu Sistema

Ainda não foi confirmado quais são os vetores exatos de infecção empregados pelos autores do ataque. Alguns especialistas em malware especulam que e-mails contendo anexos com macros, atualizações falsas de software e aplicativos pirateados comprometidos podem ser algumas das técnicas usadas na propagação do CROWN Ransomware. Quando o CROWN Ransomware obtém acesso a um sistema, ele inicia o ataque iniciando uma verificação nos arquivos presentes. Em seguida, os arquivos de destino (que serão criptografados posteriormente) serão localizados. O próximo passo é criptografar os dados visados. Quando o CROWN Ransomware bloqueia um arquivo, o nome do arquivo é alterado. O CROWN Ransomware adiciona uma extensão, '.CROWN' no final do nome do arquivo. Por exemplo, uma imagem chamada 'bathtub-hedgehog.jpeg' será renomeada como 'bathtub-hedgehog.jpeg.CROWN'.

A Nota de Resgate

Quando o processo de criptografia é concluído, o CROWN Ransomware descarta sua nota de resgate chamada 'HOW TO DECRYPT FILES.txt', que diz:

'Todas as suas informações (documentos, bancos de dados, backups e outros arquivos) neste computador foram criptografadas usando os algoritmos mais criptográficos. Todos os arquivos criptografados são formatados em .CROWN. Este arquivo de formulário .CROWN é um desenvolvimento conjunto dos American Hackers. Você só pode recuperar arquivos usando um decodificador e senha, que, por sua vez, somente nós sabemos. É impossível buscá-lo. Reinstalar o sistema operacional não muda nada. Nenhum administrador de sistema no mundo pode resolver esse problema sem saber a senha. Em nenhum caso, você deve modificar os arquivos! Mas se você quiser, faça um backup. Envie-nos um e-mail para o endereço hghtllfh77137@gmail.com com o nome do seu PC. Você tem 48 horas restantes. Se não forem descriptografados, após 48 horas serão removidos !!! '

Em seguida, o CROWN Ransomware alterará o papel de parede do usuário com uma nota de resgate no formato de uma imagem chamada 'ransom.jpg'. Em seguida, uma janela pop-up é exibida. Ele contém uma mensagem curta de resgate e um campo vazio, onde a vítima deve preencher sua 'senha' depois de pagar potencialmente a taxa de resgate e receber uma chave de descriptografia. Na nota, os atacantes mencionam que o usuário tem apenas 48 horas para pagar ou que seus arquivos serão apagados permanentemente. É por isso que os autores do CROWN Ransomware também adicionaram um cronômetro à janela pop-up. Eles também fornecem um e-mail onde exigem ser contatados - 'hghtllfh77137@gmail.com'.

Nunca é uma boa opção entrar em contato com pessoas como as que estão por trás do CROWN Ransomware. Uma opção muito mais segura seria baixar e instalar uma ferramenta anti-spyware legítima, que o livrará do CROWN Ransomware e o manterá seguro no futuro.