Ghost Army Ransomware

O Ghost Army Ransomware é um Trojan ransomware de criptografia que foi observado pela primeira vez em 16 de janeiro de 2018. O Ghost Army Ransomware está sendo entregue às vítimas através de uma falsa cópia do software VPN. Os usuários de computador relataram terem se infectado com o Ghost Army Ransomware depois de baixar uma falsa cópia do "Hide My Ass VPN", um programa VPN real que é amplamente utilizado. O software pirateado é uma maneira comum de oferecer ameaças às vítimas, e esse é um caso típico desse método de distribuição. O ataque que o Ghost Army Ransomware realiza é bastante típico dessas infecções: o Ghost Army Ransomware usa um forte algoritmo de criptografia para tornar os arquivos da vítima inacessíveis e então exige o pagamento de um resgate da vítima.

Agora, os Golpistas estão Usando um Exército de Fantasmas para Atacar os Seus Arquivos

O Ghost Army Ransomware parece pertencer a uma família de Trojans ransomware que já estava ativa, a qual inclui o Aviso e o Crypt888 Ransomware, bem como vários outros Trojans ransomware de criptografia. O Ghost Army Ransomware usará o algoritmo de criptografia AES para criptografar os arquivos da vítima e torná-los inacessíveis com o seu ataque. O Ghost Army Ransomware terá como alvo os arquivos gerados pelo usuário, que podem incluir imagens, música, vídeos, textos e vários outros tipos de documentos. Os tipos de arquivo que normalmente são alvo dos ataques de ransomware de criptografia como o Ghost Army Ransomware incluem:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Os Trojans Ransomware como o Ghost Army Ransomware, terão como alvo os arquivos gerados pelo usuário, evitando os arquivos do sistema do Windows, pois eles precisam que o Windows permaneça funcional para que a vítima possa receber a nota de resgate e fazer o pagamento on-line. O Ghost Army Ransomware marcará os arquivos criptografados pelo ataque, adicionando o prefixo 'Lock'. em cada arquivo criptografado. Isso, até um certo ponto, é uma anomalia, uma vez que a maioria dos Trojans ransomware de criptografia irão adicionar uma seqüência de caracteres ao final de cada arquivo afetado como uma nova extensão, em vez de no início do nome do arquivo, como neste caso.

Como os Golpistas podem Lucrar com o Ghost Army Ransomware

O Ghost Army Ransomware enviará uma nota de resgate às vítimas, uma vez que os arquivos delas estiverem criptografados, e elas precisarão pagar para recuperá-los. O Ghost Army Ransomware mudará a imagem da área de trabalho do computador infectado para a nota de resgate. A imagem da área de trabalho da vítima será substituída por uma imagem que contém a seguinte mensagem:

'VOCÊ FOI INVADIDO =)
TODOS OS SEUS ARQUIVOS ESTÃO ENCRIPTADOS. PARA REPARO CONTACTE-NOS:
teamghost616@gmail.com
SE NÃO ESTIVER SEGURO, DESLIGUE O COMPUTADOR
EXÉRCITO DE FANTASMAS
TIME FANTASMA'

É improvável que o Ghost Army Ransomware esteja sendo desenvolvido por um grupo avançado. O uso de um endereço público do Gmail, por exemplo, não é típico desses ataques, uma vez que esses endereços de e-mail são desativados quando eles são associados a fraudes. Felizmente, os pesquisadores de segurança do PC lançaram um software de descodificação para ajudar as vítimas do ataque pelo Ghost Army Ransomware a recuperar os seus arquivos. No entanto, é provável que novas versões do Ghost Army Ransomware sejam lançadas quando o software de descriptografia existente não funcionar mais, tornando os backups de arquivos e o software de segurança mais importantes do que nunca.