Maze Ransomware

A maioria dos autores de ransomware de baixo nível tem como alvo usuários regulares e extorquem o seu dinheiro suado. No entanto, os cibercriminosos mais altamente qualificados costumam optar por visar empresas e organizações em vez de cidadãos particulares. Os autores do Maze Ransomware parecem se encaixar nesse último perfil. Esses cibercriminosos bloqueiam os dados do alvo e ameaçam divulgá-los on-line, a menos que recebam uma quantia significativa como resgate. Obviamente, os atacantes afirmam que, se a vítima pagar a taxa de resgate exigida, eles não apenas impedirão o vazamento dos dados, mas também receberão uma chave de descriptografia que os ajudará a recuperar os seus arquivos. Desnecessário dizer que o vazamento de dados confidenciais, tais como documentos classificados on-line, pode causar grandes danos a qualquer empresa.

Os criadores do Maze Ransomware certamente investiram muito tempo e esforço na criação desse Trojan de bloqueio de dados. O Maze Ransomware não é apenas uma ameaça bastante complexa em relação à sua funcionalidade, mas também é muito furtivo. Os analistas de segurança cibernética que tentaram estudar esse malware descobriram que isso é uma tarefa e tanto porque o Maze Ransomware:

• Certifica-se de executar digitalizações regulares para determinar se há depuradores de software presentes no sistema comprometido, e se a digitalização retorna resultados positivos, a ameaça interromperá a sua operação.
• Visa confundir os pesquisadores de malware com uma quantidade significativa do que é conhecido como 'código de lixo' e 'funções falsas', cujo objetivo é ofuscar o código da ameaça e dificultar a análise.
• Verifica os processos atualmente em execução e procura por quaisquer processos relacionados às ferramentas de análise e depuração de malware. Se uma correspondência for encontrada, o Maze Ransomware interromperá o ataque e, em vez disso, começará a executar tarefas inúteis que consomemos recursos de hardware - um truque simples para desperdiçar o tempo dos pesquisadores de malware.

Segundo os analistas de segurança cibernética, o Maze Ransomware provavelmente foi a criação de cibercriminosos russos. Isso está sendo especulado, pois o Maze Ransomware executa uma digitalização nos computadores infiltrados e interrompe a sua atividade se detectar que o teclado padrão está usando o layout utilizado em ex-estados soviéticos. Além disso, o Maze Ransomware não incomoda usuários e organizações cujo teclado padrão é bósnio ou sérvio.

Quando o Maze Ransomware se infiltrar em um alvo que atenda aos seus critérios, ele usará um método de criptografia para bloquear todos os dados no sistema. Esse Trojan de bloqueio de arquivos anexa uma extensão gerada aleatoriamente a todos os nomes dos arquivos criptografados. O Maze Ransomware evita adulterações de certos tipos de arquivos - '.LNK', '.EXE', '.DLL' e '.SYS'. Para evitar erros no sistema, esse Trojan de bloqueio de dados ignorará as pastas %APPDATA%, 'Configurações locais e' Arquivos de programas '. Depois de bloquear todos os dados visados, o Maze Ransomware continua com o ataque deixando uma nota de resgate no host infectado. O nome da nota é 'DECRYPT-FILES.txt'.

Além disso, o Maze Ransomware altera o papel de parede do usuário e cria um novo que exibe a mensagem de resgate dos atacantes. A página de pagamento dos criminosos virtuais responsáveis pelo Maze Ransomware está hospedada na Dark Web e, portanto, só pode ser acessada através do navegador Tor. A página dos invasores deve fornecer às vítimas detalhes sobre o processamento de pagamento. Os criadores do Maze Ransomware oferecem a descriptografia de vários arquivos gratuitamente para provar que possuem uma chave de descriptografia em funcionamento. Não há taxa de resgate sólida anunciada pelos autores do Maze Ransomware. Parece que a taxa é calculada individualmente, provavelmente dependendo da quantidade e do tipo de informação criptografada pelo Trojan de bloqueio de arquivos. O não pagamento da taxa de resgate não apenas resultará no bloqueio dos dados da vítima, mas também em seus arquivos vazando on-line para todo mundo ver. Como mencionamos, isso pode ter efeitos devastadores sobre os negócios.

Lidar com ameaças de ransomware é sempre complicado, mas isso não significa que você deve pagar se o seu sistema for infiltrado. Pagar cibercriminosos apenas os motiva a continuar com asm suas hediondas atividades on-line e pode não resultar na devolução de seus arquivos.