KwaakLocked Ransomware

O KwaakLocked Ransomware é um Trojan ransomware que parece ser uma das muitas variantes do HiddenTear sendo usadas atualmente para atacar os usuários de computador. O HiddenTear é uma plataforma de ransomware de código aberto que foi lançada em 2015 e foi responsável por inúmeras variantes desde o seu lançamento inicial. O KwaakLocked Ransomware é uma variante bastante genérica do HiddenTear, com pouco para diferenciá-lo das muitas outras ameaças derivadas dessa fonte. O KwaakLocked Ransomware parece ter como alvo os usuários de computadores localizados na Coréia ou que falam coreano, a julgar pela campanha de distribuição associada ao KwaakLocked Ransomware e pelo estudo do código do KwaakLocked Ransomware.

Como o KwaakLocked Ransomware Ataca um Computador

O KwaakLocked Ransomware normalmente é entregue às vítimas na forma de um anexo de arquivo corrompido do Microsoft Word, que é distribuído usando e-mails de spam. A vítima será recebida com uma mensagem de erro ao abrir o arquivo, que usará scripts de macros plantados para baixar e instalar o KwaakLocked Ransomware no computador da vítima. Depois que o KwaakLocked Ransomware for instalado, o KwaakLocked Ransomware verificará o computador afetado em busca de vários tipos de arquivos gerados pelo usuário e usará a criptografia AES 256 para tornar esses arquivos inacessíveis. O KwaakLocked Ransomware armazena a chave de descriptografia necessária para recuperar os arquivos afetados nos seus servidores de Comando e Controle, e atualmente não há como obtê-los do computador afetado. O método de criptografia do KwaakLocked Ransomware tornará os arquivos modificados facilmente reconhecíveis, pois o KwaakLocked Ransomware adiciona a extensão de arquivo '.kwaaklocked' aos nomes dos arquivos afetados. Os arquivos que são alvo do KwaakLocked Ransomware e ameaças semelhantes nesses ataques infames incluem:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx , .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm,. dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg , .pg, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt,. pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls , .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

A Nota de Resgate e as Exigências do KwaakLocked Ransomware

O KwaakLocked Ransomware criptografa os arquivos e, em seguida, entrega uma nota de resgate. O KwaakLocked Ransomware toma os arquivos da vítima como reféns, e sua nota de resgate é um pedido de dinheiro que comprará a chave de descriptografia necessária para restaurar os arquivos afetados. A nota de resgate do KwaakLocked Ransomware está contida em um arquivo de texto chamado 'READ_IT.txt', colocado na área de trabalho do computador infectado. A nota de resgate do KwaakLocked Ransomware inclui o tex padrão do HiddenTear, e não há conta de e-mail ou endereço de carteira de Bitcoin para que a vítima não possa fazer o pagamento de um resgate (deixando claro que os criminosos não têm intenção de ajudar as vítimas do KwaakLocked Ransomware a recuperarem os seus dados). O que se segue é o texto contido na nota de resgate do KwaakLocked Ransomware:

'Arquivos foram criptografados com kwaak
Envie-me alguns bitcoins'

O KwaakLocked Ransomware não modifica o arquivo de processo do HiddenTear e é executado como 'hidden-tear.exe' nos computadores infectados. Devido à natureza esparsa da nota de resgate do KwaakLocked Ransomware e à implementação simples do HiddenTear, os pesquisadores de segurança do PC suspeitam que o KwaakLocked Ransomware ainda pode estar inacabado ou em desenvolvimento. Em seu estado atual, o KwaakLocked Ransomware apaga os dados da vítima, uma vez que os arquivos criptografados pelo KwaakLocked Ransomware não poderão mais ser recuperados. Por isso, a melhor proteção contra o KwaakLocked Ransomware é fazer backups dos arquivos em um dispositivo de memória externa ou na nuvem. Isso permite a recuperação dos arquivos criptografados após um ataque, depois de remover o KwaakLocked Ransomware e as cópias criptografadas dos arquivos afetados.