Crypt0r Ransomware
O Crypt0r Ransomware é um Trojan de criptografia que parece ser usado principalmente em ataques a servidores de banco de dados. O Crypt0r Ransomware Trojan foi identificado pelos pesquisadores de segurança dos computadores em 10 de janeiro de 2019 e a ameaça é conhecida por aparecer no Gerenciador de Tarefas do Windows como 'svchost.jpg'. O Crypt0r Ransomware se comporta como uma típica ameaça de criptografia que usa as cifras AES e RSA para impedir que os usuários acessem o conteúdo nas unidades de memória locais. O Crypt0r Ransomware é programado para aplicar uma versão personalizada da cifra pública AES-256 e envia-la de volta aos seus servidores de 'Comando e Controle' (C2) com a chave de descriptografia.
A chave de descriptografia está incluída em um relatório que apresenta o ID da máquina, o endereço de IP e a configuração do teclado. O Crypt0r Ransomware foi projetado para se comunicar com servidores C2 usando proxies da Rede TOR, dificultando para os pesquisadores encontrar a origem dos criadores do ransomware. O Crypt0r Ransomware altera as estruturas de arquivos de uma maneira que não permite a restauração dos arquivos sem usar uma chave e um software específicos. As máquinas infectadas perdem os instantâneos do Shadow Volume e do Restaurador do Sistema quando a ameaça conseguir ser carregada corretamente. O Trojan Crypt0r Ransomware suporta um recurso de autodestruição e o único objeto estranho que os usuários encontram é um documento chamado '_HELP.txt'. A mensagem do Crypt0r Ransomware é colocada na área de trabalho e pode ser o único arquivo de texto com um ícone adequado, pois a ameaça transforma dados semelhantes em ícones brancos genéricos. O texto de '_HELP.txt' diz:
'Todos os seus arquivos e documentos são criptografados pelo Crypt0r.
Nós fornecemos um serviço de descriptografia. Se você precisar de ajuda, entre em contato com o cliente
serviço via mail: decrypt0r-help@protonmail.com
Tudo o que precisamos é do seu ID de serviço pessoal: [caracteres aleatórios]'
O Crypt0r Ransomware pode tentar parar os processos dos gerentes de banco de dados e interferir no trabalho dos serviços automatizados de backup. Você deve observar que os atores do Crypt0r Ransomware podem ter usado uma conta da área de trabalho remota comprometida para injetar o Trojan nos sistemas comprometidos. Recomenda-se evitar negociações com a conta de e-mail 'decrypt0r-help@protonmail.com' e tentar recuperar o banco de dados usando as tecnologias de backup disponíveis. Ameaças como o Crypt0r Ransomware podem ser mitigadas e limitadas em seu impacto nas infraestruturas usando defesas em várias camadas e o armazenamento externo do backup. As empresas de antivírus se referem ao Trojan Crypt0r Ransomware com os seguintes nomes de detecção:
Gen:Heur.Ransom.Imps.1 (B)
Malware@#2flwppvkgy64d
RDN/Generic.hra
Ransom.Gen!8.DE83 (CLOUD)
Trojan-Ransom.Win32.Gen.kxn
Trojan.Encoder.26980
W32/Gen.FEE!tr.ransom
Win.Trojan.Agent-6807435-0
Win32.Trojan.Gen.Pegl
malicious.3007cd
