Gollum Ransomware

Os pesquisadores de segurança do PC descobriram o Gollum Ransomware, um Trojan ransomware de criptografia, em 11 de julho de 2018. O Gollum Ransomware é uma variante de outros Trojans ransomware que já foram vistos antes. O Gollum Ransomware é entregue às vítimas por meio do uso de mensagens de spam, como muitas variantes anteriores dessas ameaças. Comumente, essas mensagens de e-mail enganarão a vítima para abrir um anexo de e-mail que alegue estar associado a um remetente legítimo, como Amazon ou PayPal. O Gollum Ransomware será baixado e instalado no computador da vítima por meio de scripts de macro quando o anexo de arquivo for aberto.

Como Funciona o Ataque do Gollum Ransomware

Depois que o Gollum Ransomware for instalado no computador da vítima, ele ficará com os arquivos da vítima como reféns. Para fazer isso, o Gollum Ransomware usará as criptografias AES e RSA para tornar os arquivos da vítima inacessíveis. O Gollum Ransomware terá como alvo os arquivos gerados pelo usuário, que podem incluir vários arquivos de mídia, tipos de documentos, backups e outros tipos de arquivos. Alguns exemplos dos vários tipos de arquivos que ameaças como o Gollum Ransomware terão como alvo em seus ataques incluem:

.ebd, .jbc, .pst, .ost, .tib, .tbk, .bak, .bac, .abk, .as4, .asd, .bak, .backup, .bck, .bdb, .bk1 , .bkc, .bkf, .bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .ful, .gho, .ipd, .nb7, .nba,. nbd, .nbf, .nbi, .nbu, .nco, .oeb, .old, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .win, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .pem, .sgn, .sec, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb , .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf, .xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .txt, .cdr,. jpg, .jpg, .jpeg, .png, .bmp, .jiff, .jpf, .ply, .pov, .raw, .cf, .cfn, .tbn, .xcf, .xof, .key, .eml, .tbb, .dwf, .egg, .fc2, .fcz, .fg, .fp3, .pab, .oab, .psd, .psb, .pcx, .dwg, .dws, .dxe, .zip, .zipx , .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .shy, .snk, .accdb, .ldf, .accdc,. adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb, .kdb, .kdbx, .1cd, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .end, .eog , .erb, .ebb, .prefab, .jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps, etc.  

O Gollum Ransomware marcará os arquivos criptografados pelo ataque adicionando a extensão de arquivo '.encrypted' aos seus nomes originais. O Gollum Ransomware também tornará inutilizáveis ​​métodos de recuperação alternativos, além de criptografar os arquivos da vítima. O Gollum Ransomware removerá as Cópias de Volume de Sombra dos arquivos da vítima e também excluirá os pontos de Restauração do Sistema. O Gollum Ransomware entregará uma nota de resgate à vítima assim que os arquivos da vítima forem criptografados. A nota de resgate do Gollum Ransomware está contida em um arquivo HTML chamado 'ransom_pay.html' e em um arquivo TXT chamado 'ransom_note.txt'. Ambos contêm a mesma mensagem, que diz o seguinte:

'A MAIORIA DOS SEUS ARQUIVOS IMPORTANTES FOI CODIFICADA PELA AES 256-CBC E RSA 2048!
bem, se você quiser restaurar todos os seus arquivos, você deve
envie 0,05000000 BTC para o próximo endereço de bitcoin como você vê abaixo
[1352RtNRpYRdKLWUUDklBUKP7p4SqMAiTF]
até [uma string com data e hora definidas] (UTC) '

Lidando com o Gollum Ransomware

O resgate de Gollum Ransomware é de 300 USD aproximadamente à taxa de câmbio atual. Independentemente do resgate acessível solicitado pelo Gollum Ransomware, ele não deve ser pago. Nada pode garantir que os criminosos ajudem as vítimas a recuperar seus arquivos após o ataque, e eles podem até mesmo visar a vítima para infecções adicionais, já que a vítima terá mostrado disposição para pagar o resgate. A melhor proteção contra ameaças como o Gollum Ransomware é ter backups de arquivos armazenados na Nuvem. Os pesquisadores de malware aconselham os usuários de computador a armazenarem cópias de backup dos seus arquivos em dispositivos de memória externos ou serviços na Nuvem, para permitir que usuários de computador se recuperem de ataques como o Gollum Ransomware, excluindo os arquivos comprometidos e substituindo-os por cópias de backup.