FRS Ransomware

O FRS Ransomware é bastante simples e parece ser pouco mais que um batch script. O FRS Ransomware renomeará os arquivos da vítima e criará um arquivo de texto chamado 'READ_ME_HELP.txt' na área de trabalho do computador infectado, junto com um arquivo PNG com o mesmo nome, localizado no mesmo local na unidade do computador afetado. Os pesquisadores de segurança do PC notaram que o FRS Ransomware é normalmente fornecido através de anexos de e-mail de spam, geralmente incluídos em documentos do Microsoft Word como um script incorporado ou falsas atualizações de software distribuídas através de páginas obscuras da Web.

Parece que o FRS Ransomware era um batch script que foi convertido para um programa executável usando o Compilador Rápido de Arquivos em Lote inicialmente. O FRS Ransomware recebe esse nome porque adiciona a extensão de arquivo '.FRS' ao final do nome de cada arquivo afetado. Depois que um arquivo for renomeado, o Windows não o abrirá porque não reconhecerá qual ferramenta deve ser usada para abrir esse tipo de arquivo. No entanto, o conteúdo do arquivo não será alterado; apenas o seu nome. Os usuários de computador só precisam renomear o arquivo afetado com a extensão correta para recuperar acesso a ele. Isso é diferente dos Trojans ransomware de criptografia reais, porque eles criptografam os dados dos arquivos (além de renomeá-los), o que significa que o arquivo será perdido permanentemente, a menos que se tenha acesso à chave de descriptografia ou ao software necessário para restaurar acesso aos dados desse arquivo. O FRS Ransomware está tentando enganar os usuários de computador para que eles acreditem que ele realizou esse ataque, muito mais difícil de ser realizado.

O Ataque Ameaçador Executado pelo FRS Ransomware

O FRS Ransomware renomeará os arquivos contidos nos seguintes diretórios:

C:\Users\%USERNAME%\Desktop\
C:\Users\%USERNAME%\Saved Games\
C:\Users\%USERNAME%\Links\
C:\Users\%USERNAME%\Favorites\
C:\Users\%USERNAME%\Searches\
C:\Users\%USERNAME%\Videos\
C:\Users\%USERNAME%\Pictures\

O FRS Ransomware deixará os arquivos codificados em uma pasta chamada 'FRSRANSOMWARE' na unidade principal do sistema do computador afetado após renomear os arquivos da vítima. A nota de resgate do FRS Ransomware contém uma imagem da bandeira chinesa. Os arquivos que se seguem foram vinculados ao ataque do FRS Ransomware:

C:\Users\FIFCOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FRS.exe
C:\FRSRAMSOMWARE\Chinese_national_flag.png
C:\FRSRAMSOMWARE\READ_ME_HELP_ME.txt
C:\FRSRAMSOMWARE\READ_ME_HELP_ME.png
C:\FRSRAMSOMWARE\FRS_Decryptor.exe

A mensagem contida na nota de resgate do FRS Ransomware deve ser ignorada. Não há razão para acreditar que os dados foram perdidos completamente, e as pessoas responsáveis por esses ataques exigem pagamentos de resgate que variam de 200 a 600 dólares a serem pagos em Bitcoins. Embora tedioso, os usuários de computador podem restaurar o acesso aos seus arquivos renomeando-os para que eles recuperem as suas extensões de arquivo originais. Os usuários de computador também podem usar métodos de backup, tais como restaurar os arquivos afetados das cópias de backup armazenadas na nuvem ou em um dispositivo externo. Isso, combinado com um programa de segurança e métodos seguros para lidar com mensagens de spam e outros vetores de distribuição dessa ameaça, pode ajudar os usuários de computador a se recuperarem do ataque do FRS Ransomware..