Defray Ransomware

O Defray Ransomware é um Trojan ransomware de criptografia que também é conhecido como Glushkov Ransomware devido ao uso de endereços de e-mail contendo a cadeia de caracteres 'Glushkov' em seus contatos com as vítimas do ataque. O Defray Ransomware é considerado um Trojan ransomware de criptografia muito perigoso, que pode ser bastante eficaz em seu ataque. O Defray Ransomware foi escrito usando-se o C ++ e foi projetado para criptografar os arquivos das vítimas usando uma combinação das criptografas AES 256 e RSA 2048 para garantir que os arquivos criptografados pelo ataque tornem-se inacessíveis. Uma vez que o Defray Ransomware torna os arquivos da vítima inacessíveis, ele exige o pagamento de um resgate em troca da chave de descriptografia necessária para restaurar o conteúdo afetado.

O Processo de Infecção Usado pelo Defray Ransomware

O Defray Ransomware vai segmentar arquivos em todas as unidades locais, nos dispositivos de memória externa conectados ao PC infectado e nos arquivos contidos nas redes de armazenamento compartilhadas. Em seu ataque, o Defray Ransomware codificará os arquivos com as seguintes extensões:

.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw, .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, .dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf, .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, .pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, .stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.

Ao contrário de muitos outros Trojans ransomware de criptografia, o Defray Ransomware não modifica os nomes dos arquivos visados pelo ataque. No entanto, uma vez que o Defray Ransomware criptografa um arquivo, ele não será mais recuperável.

O Pedido de Resgate Absurdo do Defray Ransomware

O Defray Ransomware exige um resgate muito grande - 5000 USD para restaurar o acesso aos arquivos infectados. É provável que as pessoas responsáveis pelo ataque exijam uma quantia ainda maior se suspeitarem que o computador visado pertence a uma grande empresa. A nota de resgate do Defray Ransomware está contida em dois arquivos de texto denominados 'FILES.TXT' e 'HELP.txt', ambos lançados na área de trabalho do computador infectado e na Biblioteca de documentos do Windows. O texto completo da nota de resgate usada no ataque Defray Ransomware diz:

'Don't panic, read this and contact someone from IT department.
Your computer has been infected with a virus known as ransomware.
All files including your personal or business documents, backups and projects are encrypted.
Encryption is very sophisticated and without paying a ransom you won't get your files back.
You could be advised not to pay, but you should anyway get in touch with us.
Ransom value for your files is 5000$ to be paid in digital currency called Bitcoin.
If you have questions, write us.
If you have doubts, write us.
If you want to negotiate, write us.
If you want to make sure we can get your files back, write us.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
In case we don't respond to an email within one day, download application called BitMessage and reach to us for the fastest response.
BitMessage BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
###
To someone from IT department
This is custom developed ransomware, decrypter won't be made by an antivirus company. This one doesn't even have a name. It uses AES-256 for encrypting files, RSA-2048 for storing encrypted AES-256 password and SHA-2 for keeping the encrypted file integrity. It's written in C++ and have passed many quality assurance tests. To prevent this next time use offline backups.
###'

Cuja tradução é:

'Não entre em pânico, leia isso e entre em contato com alguém do departamento de TI.
O seu computador foi infectado por por vírus conhecido como ransomware.
Todos os arquivos, incluindo os seus documentos pessoais ou empresariais, backups e projetos estão criptografados.
A criptografia é muito sofisticada e, sem pagar um resgate, você não recuperará os seus arquivos.
Você pode ser aconselhado a não pagar, mas você deve entrar em contato conosco.
O valor do resgate para os seus arquivos é de $5000 a serem pagos em uma moeda digital denominada Bitcoin.
Se você tiver perguntas, escreva-nos.
Se você tiver dúvidas, escreva-nos.
Se quiser negociar, escreva-nos.
Se você quiser ter certeza de que podemos recuperar os seus arquivos, escreva-nos.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
Caso não respondamos um e-mail dentro de um dia, baixe um aplicativo chamado BitMessage e alcançe-nos para uma resposta mais rápida.
BitMessage BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
###
Para alguém do departamento de TI
Este é um ransomware desenvolvido de forma personalizada, o decodificador não será feito por uma empresa antivírus. Este nem sequer tem um nome. Ele usa o AES-256 para criptografar os arquivos, o RSA-2048 para armazenar a senha AES-256 criptografada e o SHA-2 para manter a integridade do arquivo criptografado. Está escrito em C ++ e passou por muitos testes de garantia de qualidade. Para evitar isso, da próxima vez use backups offline.
### '