Khonsari Ransomware

O Khonsari Ransomware é um ransomware totalmente novo, projetado para atacar PCs baseados no Windows. Para fazer isso, os criminosos por trás do ransomware exploram a vulnerabilidade CVE-2021-44228 recentemente encontrada, também conhecida como Log4Shell, Logjam e Log4j. A última é uma falha crítica que permite que os hackers apliquem a execução remota de código para sequestrar servidores não corrigidos e colocá-los em um botnet.

Ao contrário de outras peças populares de ransomware atualmente em circulação, Khonsari não se espalha por meio de e-mail de spam ou malvertising. Para infectar um PC com o Khonsari, os criminosos responsáveis devem primeiro utilizar a vulnerabilidade mencionada acima para forçar o sistema alvo a baixar um código arbitrário. Uma vez executado, esse código dá aos cibercriminosos controle total sobre o sistema visado e oportunidades infinitas para plantar todos os tipos de malware, incluindo o Khonsari.

Caso o adversário decida lançar uma infecção pelo Khonsari neste estágio, o ransomware criptografará muitos tipos de arquivo e gerará a seguinte nota de resgate:

'Seus arquivos foram criptografados e roubados pela família Khonsari. Se você deseja descriptografar, ligue para (225) 287-1309 ou e-mail karenkhonsari@gmail.com . Se você não sabe como comprar btc, use um mecanismo de busca para encontrar trocas. NÃO MODIFIQUE OU APAGUE ESTE ARQUIVO OU QUAISQUER ARQUIVOS CRIPTOGRAFADOS. SE VOCÊ ASSIM, SEUS ARQUIVOS PODEM SER INCUPERÁVEIS.'

A nota é bastante básica em termos de instruções, assim como o próprio Khonsari Ransomware. A carga útil do Khonsari tem apenas 12 KB, o que explica por que ele não é tão sofisticado quanto outras ameaças notáveis por aí. Os pesquisadores especulam que o contato fornecido na nota de resgate pode ser uma bandeira falsa e que Karen Khonsari pode ser uma pessoa na vida real. No entanto, eles ainda não confirmaram essa teoria, e é por isso que o Khonsari Ransomware apresenta riscos graves por enquanto.