L4NC34 Ransomware

A maioria das ameaças de ransomware tem como alvo usuários comuns e bloqueiam o conteúdo dos seus computadores com um algoritmo de criptografia, apenas para solicitar uma taxa de resgate em troca da chave de descriptografia necessária para recuperar seus dados. No entanto, esse não é exatamente o caso do recém-descoberto L4NC34 Ransomware. O L4NC34 Ransomware ataca apenas sites. Segundo relatos, até agora, o L4NC34 Ransomware conseguiu se infiltrar em várias páginas da Web.

Propagação e Criptografia

Ainda não se sabe como os criminosos virtuais por trás do Ransomware L4NC34 se infiltram nos sites visados. Os pesquisadores de malware especulam que os autores podem confiar em vulnerabilidades de software ou em servidores mal protegidos e fáceis de explorar. Assim que o L4NC34 Ransomware conseguir se infiltrar no site visado, ele bloqueará todos os seus arquivos. Os arquivos da página da Web serão renomeados porque o L4NC34 Ransomware anexa uma extensão '.crypt' aos nomes de todos os arquivos bloqueados. Isso significa que uma imagem chamada 'home-page.jpeg' será renomeada como 'home-page.jpeg.crypt' depois que o processo de criptografia for concluído com êxito.

A Nota de Resgate

A maioria das ameaças desse tipo exibe uma nota de resgate na forma de um arquivo '.txt' ou '.html'. No entanto, a nota de resgate do L4NC34 Ransomware está contida em um arquivo '.php'. A mensagem na nota do L4NC34 Ransomware é codificada. Quando as vítimas decodificarem a mensagem de resgate, verão as exigências dos agressores. Os autores do L4NC34 Ransomware exigem US $10 como taxa de resgate, e a transação deve ser feita via Bitcoin. Os atacantes fornecem o endereço de sua carteira e um endereço de e-mail onde esperam que a vítima entre em contato com eles - 'l4nc340@gmail.com'. A maioria das ameaças de ransomware tende a exigir taxas de descriptografia muito mais altas - centenas ou até milhares de dólares. No entanto, a taxa de resgate do L4NC34 Ransomware é baixa porque essa ameaça não criptografa os dados que ele visa. Em vez de usar um algoritmo de criptografia para bloquear os dados, o L4NC34 Ransomware utiliza 'gzdeflate' - essa é uma função PHP, usada para compactar arquivos. Depois de compactar os arquivos visados, o L4NC34 Ransomware anexa a extensão '.crypt' a eles, fazendo parecer que o Trojan usou um algoritmo de criptografia seguro para bloquear os dados.

Se o seu site se tornou uma vítima do L4NC34 Ransomware, você pode recuperar os seus arquivos facilmente usando a função PHP 'gzinflate' para restaurar os arquivos ao seu estado original. A carteira Bitcoin dos autores do L4NC34 Ransomware parece estar vazia, por isso é provável que a maioria de suas vítimas tenha encontrado a solução para o seu problema, sem ter que pagar um centavo.

L4NC34 Ransomware capturas de tela