DIS Ransomware
O DIS Ransomware é um Trojan de bloqueio de arquivos da família Dharma Ransomware, que é executado como um Ransomware-as-a-Service que 'aluga' a terceiros invasores. O DIS Ransomware pode bloquear os arquivos dos usuários do Windows, destruir seus backups e entregar notas de resgate que vendem seu serviço de desbloqueio de dados posteriormente. Os usuários podem fazer backup de seu trabalho em outros dispositivos e usar ferramentas anti-malware apropriadas para excluir o DIS Ransomware.
Voltando ao Básico Ransomware-como-um-Serviço
Os Trojans bloqueio de arquivos podem inovar com técnicas experimentais de engenharia social, plataformas diferentes, como sites TOR semiautomáticos, e recursos de bloqueio alternativos, como agrupar todos os arquivos em um arquivo. No entanto, a maioria dessas ameaças não precisa de inovação ou criatividade e são parte de um modelo padronizado com poucas variações. Isso é verdade para o DIS Ransomware, que mostra que o modelo familiar do Dharma Ransomware para fazer negócios ainda tem pelo menos a percepção de lucrar.
O DIS Ransomware não é o primeiro Trojan de sua família a aparecer em 2021; parentes comparáveis incluem o 14x Ransomware e o apropriadamente chamado 2021 Ransomware, embora a família volte anos com variantes como o SySS Ransomware ou o 'paydecryption@qq.com' Ransomware. O recurso central em todos os casos, incluindo o DIS Ransomware, é a criptografia protegida por RSA baseada em AES. Este recurso direciona e 'bloqueia' arquivos como filmes, bancos de dados, documentos, música e outras mídias. O Trojan também adiciona uma extensão e e-mail que muda com cada variante, como a extensão 'dis' do DIS Ransomware, mas remover a extensão não afeta a criptografia de bloqueio de dados.
Os pesquisadores de malware desencorajam fortemente a manutenção de todos os backups em unidades desprotegidas e acessíveis localmente devido à exclusão comum e ataques de criptografia. Em particular, os pontos de restauração são alvos para exclusão. Como não há uma solução gratuita para o ataque de bloqueio do DIS Ransomware, os usuários dependem de backups remotos, seguros e bem mantidos para qualquer recuperação razoável de seus arquivos.
Adotando uma Postura Inovadora em Relação aos Codificadores de Dados
O DIS Ransomware é muito reconhecível como um membro da família porque gera um conjunto clássico de notas de resgate do Dharma Ransomware nos formatos HTA e TXT. No entanto, pagar os resgates pode não fornecer a resposta que as vítimas esperam, e os atores da ameaça raramente negociam de boa fé. Um outro problema é que cada pagamento para campanhas como o DIS Ransomware justifica mais desenvolvimento e suporte para a indústria de Ransomware como serviço.
Para prevenir infecções e a perda de dados associada de forma eficaz, os pesquisadores de malware endossam as etapas abaixo para todos os usuários do Windows:
- Desativar recursos do navegador que podem colocar os usuários em risco, incluindo Java, JavaScript e Flash
- Digitalizar anexos de e-mail e outros downloads que podem ser ameaças disfarçadas (como faturas com exploits incorporados)
- Atualizar softwares como WordPress e Microsoft Office para remover vulnerabilidades
- Usar senhas fortes que evitam que invasores as force brutalmente
- Limitar a disponibilidade de RDP
Como diferentes atores de ameaças empregam famílias RaaS, os modelos de infecção podem ser mais criativos e variáveis do que a maioria dos Trojans. No entanto, os usuários do Windows com proteção anti-malware compatível têm as melhores chances de bloquear exploits de instalação ou excluir o DIS Ransomware antes que ele seja um problema.
O DIS Ransomware é uma atualização modesta e previsível para uma família cujo negócio não precisa de grandes reformulações. Até que as vítimas parem de pagar e comecem a fazer o backup, ameaças como o DIS Ransomware continuarão sendo um problema em 2021.
