Intel Ransomware

Os pesquisadores descobriram uma nova variedade de ransomware conhecida como Intel Ransomware. Este software ameaçador infiltra-se nos dispositivos, encriptando os dados armazenados e exigindo um resgate em troca da alegada desencriptação das informações comprometidas.

Notavelmente, os arquivos afetados pelo ransomware Intel passam por um processo de renomeação. Os nomes dos arquivos originais são aumentados com um identificador exclusivo atribuído à vítima, seguido por '.[intellent@ai_download_file]' e concluído com a extensão '.intel'. A título de ilustração, um arquivo rotulado inicialmente como '1.jpg' seria transformado em '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' pós-criptografia.

Assim que o processo de criptografia é concluído, as vítimas encontram notas de resgate apresentadas em uma janela pop-up e como arquivos de texto chamados 'README!.txt'. Esses arquivos de texto são depositados em cada pasta criptografada e na área de trabalho do sistema. A análise do conteúdo da nota de resgate revela que o Intel Ransomware tem como alvo específico empresas e emprega táticas de dupla extorsão. Além disso, este programa ameaçador é afiliado à família do Dharma Ransomware.

O Intel Ransomware Impede que as Vítimas Acessem os Seus Próprios Dados

O Intel Ransomware demonstra uma abordagem abrangente ao criptografar arquivos locais e compartilhados em rede, enquanto arquivos cruciais do sistema permanecem inalterados para evitar deixar o sistema inoperante. Notavelmente, ele emprega uma estratégia para evitar a criptografia dupla, excluindo arquivos bloqueados por outro ransomware. No entanto, este método não é infalível, pois depende de uma lista predefinida que pode não abranger todas as variantes de ransomware conhecidas.

Além disso, o malware Intel exibe sofisticação em sua operação ao fechar processos associados a arquivos que poderiam estar abertos, como leitores de arquivos de texto e programas de banco de dados. Esta medida proativa visa evitar conflitos de arquivos considerados “em uso”, garantindo que não estejam isentos de criptografia.

A família de ransomware do Dharma, à qual pertence o malware Intel, emprega táticas estratégicas para infiltração e persistência. Isso inclui desligar o firewall para facilitar a infiltração e evitar a detecção. Além disso, as técnicas de garantia de persistência envolvem:

• • Copiando o malware para o caminho %LOCALAPPDATA%.

• • Registrando-o com chaves Run específicas.

• • Configurando a inicialização automática do ransomware após cada reinicialização do sistema.

Um aspecto notável dos ataques do Dharma é o seu potencial para ações direcionadas. Os programas associados a esta família podem coletar dados de geolocalização, permitindo exceções em seus ataques. Esta adaptabilidade implica que as infecções podem ter motivações políticas ou geopolíticas, ou podem evitar propositadamente vítimas que provavelmente não cumprirão os pedidos de resgate, especialmente em regiões com condições económicas fracas.

Para impedir ainda mais os esforços de recuperação, o Intel Ransomware pode excluir as Shadow Volume Copies, dificultando a restauração de versões anteriores de arquivos. Com base em extensas pesquisas sobre infecções por ransomware, é evidente que a desencriptação sem a intervenção dos atacantes é normalmente um desafio intransponível.

O Intel Ransomware Usa Táticas de Dupla Extorsão

O conteúdo do arquivo de texto serve como uma breve notificação à vítima, informando que seus dados foram criptografados e coletados. Ele solicita que a vítima estabeleça comunicação enviando um e-mail aos invasores.

Por outro lado, a mensagem pop-up fornece informações mais detalhadas sobre a infecção pelo ransomware. Reitera os aspectos de criptografia e roubo de dados, enfatizando a urgência da situação. A nota de resgate emite um aviso estrito de que a falta de contato com os cibercriminosos dentro de 24 horas ou a recusa em cumprir o pedido de resgate levará à exposição do conteúdo roubado na dark web ou à sua venda a concorrentes da empresa da vítima.

Para demonstrar a possibilidade de recuperação, a mensagem oferece um teste de descriptografia gratuito a ser realizado em um único arquivo. A vítima também é explicitamente informada de que procurar assistência de empresas de recuperação pode resultar em perdas financeiras adicionais, uma vez que estes intermediários normalmente impõem taxas que são adicionadas ao montante do resgate.

No entanto, é frequentemente observado que as vítimas, mesmo depois de cumprirem os pedidos de resgate, não recebem as chaves de desencriptação ou software prometidos. Apesar de cumprir os requisitos de resgate, não há garantia de recuperação de arquivos. Consequentemente, os investigadores desencorajam fortemente o pagamento do resgate, uma vez que não só não garante a recuperação dos ficheiros, mas também perpetua e apoia actividades criminosas. Além disso, é essencial compreender que, embora a remoção do ransomware possa interromper a criptografia adicional de dados, o processo de remoção não restaura automaticamente os arquivos anteriormente comprometidos.

O Intel Ransomware exibe a seguinte nota de resgate como uma janela pop-up:

'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!

Se você não nos escrever dentro de 24 horas, começaremos a publicar e vender seus dados na darknet em sites de hackers e ofereceremos as informações aos seus concorrentes
envie-nos um e-mail: intellent.ai@onionmail.org SEU ID -
Se você não receber uma resposta em 24 horas, escreva para este e-mail: intellent.ai@onionmail.org

INFORMAÇÃO IMPORTANTE!
Tenha em mente que assim que seus dados aparecerem em nosso site de vazamento, eles poderão ser comprados por seus concorrentes a qualquer momento, então não hesite por muito tempo. Quanto mais cedo você pagar o resgate, mais cedo sua empresa estará segura.
analisamos todos os seus relatórios e a receita da sua empresa.
Garantia:Se não fornecermos um descriptografador ou excluirmos seus dados após o pagamento, ninguém nos pagará no futuro. Valorizamos nossa reputação.
Chave de garantia:Para provar que a chave de descriptografia existe, podemos testar o arquivo (não o banco de dados e o backup) gratuitamente.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
Não vá para empresas de recuperação - elas são essencialmente apenas intermediários. A descriptografia de seus arquivos com a ajuda de terceiros pode causar aumento de preço (eles adicionam sua taxa à nossa), somos os únicos que possuem as chaves de descriptografia.

Os arquivos de texto criados pelo Intel Ransomware contêm a seguinte mensagem:

Seus dados foram roubados e criptografados!

envia-nos um email

intellent.ai@onionmail.org'