Hc7 Ransomware

O Hc7 Ransomware é uma variante do Hc6 Ransomware, que apareceu apenas alguns dias antes do Hc7 Ransomware. Há muito pouca diferença entre essas ameaças, e é claro que elas estão utilizando a mesma fonte. Observado pela primeira vez no dia 1º de Dezembro de 2017, o Hc7 Ransomware é entregue utilizando e-mails de spam, que incluirão um anexo comprometido. Esses anexos tendem a aparecer um documento do Microsoft Word os quais são, na verdade, scripts mal-intencionados, que baixam e instalam o Hc7 Ransomware no computador da vítima. Assim que estiver instalado, o Hc7 Ransomware tentará tomar os arquivos da vítima como reféns, criptografando esses arquivos com um forte algoritmo de criptografia e então vai exigir o pagamento de um resgate em troca da chave de descriptografia que restaurará os arquivos afetados.

O Ataque Bem Conhecido do Hc7 Ransomware

O Hc7 Ransomware escaneia os discos rígidos da vítima em busca de arquivos gerados pelo usuário, utilizando um algoritmo forte de criptografia para tornar inacessíveis os arquivos afetados. A chave de descriptografia que restaurará os arquivos afetados é enviada para os servidores de Controle e Comando do Hc7 Ransomware, fora do alcance da vítima ou dos softwares de segurança. Os tipos de arquivos que são tipicamente criptografados pelo ataque do Hc7 Ransomware são:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

O Hc7 Ransomware marcará os arquivos que ele codifica no seu ataque com a extensão '.GOTYA,' que é adicionada ao final do nome de cada arquivo.

Os Pedidos de Resgate do Hc7 Ransomware

O Hc7 Ransomware exige um resgate da vítima através de uma nota de resgate exibida no computador infectado. A nota de resgate que é utilizada pelo Hc7 Ransomware diz:

'TODOS OS SEUS ARQUIVOS FORAM CRIPTOGRAFADOS.
PARA RESTAURAR ESSEs ARQUIVOs, VOCÊ DEVE ENVIAR $700 BTC por MÁQUINA OU $5000 BTC PARA TODA A REDE.
[endereço da carteira de Bitcoin] APÓS O PAGAMENTO ENVIE UM E-MAIL PARA m4zn0v@keemail.me.
PARA INSTALAÇÃO PARA DESCRIPTOGRAFIA
NÃO DESLIGUE ESTE COMPUTADOR, A NÃO SER QUE QUEBRARÁ'

A adição do pagamento de 5.000 USD como resgate para os administradores de rede é diferente do que foi utilizado pela versão anterior do Hc7 Ransomware, que exigiu o pagamento de 2.500 USD por cada computador infectado. Independente das opções de pagamento, é importante não pagar o resgate do Hc7 Ransomware. Além do fato de que pagar o resgate do Hc7 Ransomware permite que estelionatários continuem a criar e desenvolver ameaças como o Hc7 Ransomware, é muito improvável que essas pessoas ajudarão os usuários a se recuperar de um ataque pelo Hc7 Ransomware. Provavelmente eles irão ignorar o pagamento da vítima, solicitar mais dinheiro, ou direcionar a vítima para ataques futuros (haja vista que a vítima já demonstrou disposição em pagar o resgate).