Mockba Ransomware

Os criadores de ransomware parecem não tirar um dia de folga - um novo Trojan de criptografia de arquivos foi flagrado recentemente. Seu nome é o Mockba Ransomware. Esta parece ser uma nova família de ransomware. As ameaças de ransomware parecem ser percebidas como um tipo de empreendimento de baixo risco e alta recompensa, à medida que mais e mais indivíduos obscuros desenvolvem e propagam vários Trojans de bloqueio de dados.

Propagação e Criptografia

A maioria dos autores de ransomware costumam utilizar campanhas de spam por e-mail para espalhar suas criações. Os emails em questão costumam conter um anexo com macros que carrega a carga útil ameaçadora. Outro truque usado pelos criadores de ransomware é usar cópias piratas falsas de aplicativos populares para induzir os usuários a executarem sua ameaça. É por isso que os especialistas em malware alertam contra o download de qualquer software pirateado de mídia; simplesmente não vale a pena o risco. O Mockba Ransomware procura por certos tipos de arquivos, uma vez que se infiltra no sistema. Como a maioria das ameaças de ransomware, o Mockba Ransomware possui uma lista muito longa de tipos de arquivos, que é visada. Isso inclui arquivos .mp3, .jpeg, .mov, .docx, .pptx, .rar, .png (entre muitos outros), que são altamente prováveis de estar presentes no sistema de qualquer usuário comum. Em seguida, os arquivos selecionados serão submetidos ao processo de criptografia do Mockba Ransomware. Essa ameaça usa um algoritmo de criptografia para bloquear todos os dados visados. Depois que o Mockba Ransomware bloqueia um arquivo, ele também altera sua extensão adicionando '.mockba' no final do nome do arquivo. Isso significa que um arquivo de imagem chamado 'old-and-gold.jpeg' será renomeado como 'old-and-gold.jpeg.mockba' quando o processo de criptografia for concluído.

A Nota de Resgate

A ameaça exibirá uma nota de resgate na área de trabalho da vítima chamada '# COMO RECUPERAR SEUS DADOS#.txt'. Usar todas as letras maiúsculas e símbolos especiais é uma técnica comum usada pelos autores de ransomware. Dessa forma, eles tornam muito menos provável que o usuário acabe ignorando sua mensagem de resgate, à medida que o arquivo se destaca mais. Na nota, os criadores do Mockba Ransomware solicitam uma alta quantia em troca da chave de descriptografia, que o usuário precisa para recuperar seus arquivos. A nota também fornece à vítima um endereço de e-mail onde eles podem receber mais informações - 'petersburgrecover@protonmail.com'.

É provável que essa ameaça se origine da Rússia não apenas porque o endereço de e-mail forneceu referências à cidade russa de São Petersburgo, mas também porque, quando o nome da ameaça está escrito em todas as letras maiúsculas (também conhecido como MOCKBA), aparece como 'MOSCOVO' em Russo. No entanto, essas são especulações e não há provas definitivas de que o Mockba Ransomware tenha sido um produto de hackers russos.

Aconselhamo-lo a não cooperar com os autores do Mockba Ransomware, pois não há garantia de que você receberá a chave de descriptografia, que os invasores prometem. É muito mais seguro remover o Mockba Ransomware do seu sistema usando um aplicativo anti-vírus legítimo.