Defender Ransomware

O Defender Ransomware é um Trojan que criptografa arquivos, e que foi reportado no dia 13 de Fevereiro de 2018. Os pesquisadores de malware informaram que o Defender Ransomware é enviado para os usuários de PC através de páginas do Zippysahre.com, que afirmam oferecer dicas para jogos e sharewares pirateados. Compreensivelmente, a maioria dos usuários que foram infectados pelo Defender Ransomware abriram a carga da ameaça com privilégios administrativos, a qual é requerida para instalar as trapaças para os jogos e quebrar a proteção digital do shareware. O Trojan do Defender Ransomware é deixado no diretório temporário sob:

C:\Users\username\AppData\Temp\Cache\MpCmdRun.exe

Testes em laboratório demonstraram que o Defender Ransomware pode utilizar nomes de arquivos que sugerem que ele não é mais que uma instância do Media Player Classic (h[tt]ps://mpc-hc[.]org/) como uma forma de evitar levantar suspeitas. O Defender Ransomware não requer um  poder de processamento significante, e em muitos casos, os usuários de PC infectados não podem perceber nada durante o processo de criptografia. O Defender Ransomware foi programado para cifrar imagens, arquivos de música, vídeos baixados, bancos de dados, documentos do office (DOCX, PPTX, XLSX), arquivos PDF e formatos de eBooks. Os dados afetados recebem a extensão '.defender' e por exemplo, o 'To-Do List.docx' é renomeado para 'To-Do List.docx.defender.'. Além disso, a função de recuperação do sistema se torna inútil haja vista que ele apaga as capturas de tela dos registros do Shadow Volume criados pelo Windows. A nota de resgate é apresentada como uma nota simples de texto nomeada 'Defender_Ransomware.txt.'. Os usuários comprometidos podem encontrar o 'Defender_Ransomware.txt' na sua Área de Trabalho e na livraria de documentos do Windows 10. A mensagem de resgate diz:

'OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS PELO DEFENDER RANSOMWARE. O MURO NÃO CAIRÁ. NÃO É POSSÍVEL DESCRIPTOGRAFAR ESSE RANSOMWARE. DESCULPE POR ISSO.'

Não há maneiras de descriptografar os dados comprometidos pois a chave de descriptografia é enviada aos servidores controlados pelos criadores da ameaça. Acredita-se que os atacantes destroem os dados nos dispositivos infectados propositalmente, pois eles não oferecem nenhum meio de contato e não fazem nenhuma exigência. Sendo assim, o Defender Ransomware é posto na categoria de Wiperware (Wiper) - que é um programa programado para limpar os dados ou prevenir o acesso aos recipientes de dados sem a possibilidade de desbloqueá-los no futuro. Você precisará de backups em discos não mapeados e serviços na nuvem, tais como o Dropbox e o Google Drive se você quiser ter uma recuperação completa. Os mecanismos AV reconhecem o Defender Ransomware e categorizam os seus arquivos como:

• Artemis!5DCC449D51C8
• Ransom_DEFENDER.A
• TR/Ransom.dvwue
• Trojan ( 00526c4c1 )
• Trojan.GenericKD.40108788
• Trojan.Win32.Z.Filecoder.20480
• a variant of MSIL/Filecoder.LX

SpyHunter detecta e remove Defender Ransomware