MR.Z3B1 Ransomware

O MR.Z3B1 Ransomware foi observado pela primeira vez em 2 de abril de 2019, realizando um típico ataque de ransomware de criptografia. O MR.Z3B1 Ransomware é um Trojan ransomware de criptografia e uma variante da família do Jigsaw Ransomware. O MR.Z3B1 Ransomware, como a maioria dos Trojans ransomware de criptografia, é distribuído através do uso de anexos de e-mail de spam corrompidos, geralmente usando scripts inválidos para baixar e instalar o MR.Z3B1 Ransomware quando a vítima abre o anexo do arquivo.

Como Funciona o Ataque do MR.Z3B1 Ransomware

O MR.Z3B1 Ransomware exclui os Pontos de Restauração do Sistema e as Cópias do Shadow Volume dos arquivos da vítima e usa as criptografias AES e RSA para tornar inacessíveis os arquivos gerados pelo usuário. O MR.Z3B1 Ransomware criptografa os dados da vítima com o objetivo de extrair o pagamento d um resgate para fornecer ao usuário do PC afetado a chave de descriptografia. O MR.Z3B1 Ransomware marca cada arquivo criptografado pelo ataque com a string '.Contact onlineservices1@usa.com Hacked by Z3b1 seu ID [MI0985547KE] .locked' adicionada ao nome do arquivo afetado. O MR.Z3B1 Ransomware terá como alvo os arquivos listados abaixo nesses ataques:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, .qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, .cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

O MR.Z3B1 Ransomware fornece uma nota de resgate em uma tela azul e uma janela de programa, que contém a seguinte mensagem:

'Bem, infelizmente você foi HACKED
Seus dados pessoais foram criptografados. Suas fotos, vídeos, documentos, etc ...
e será deletado se eu não souber de você, não se preocupe! Isso só acontecerá se você não cumprir. Você não pode acessar seus arquivos novamente.
A cada hora, o resgate aumentará e alguns arquivos serão excluídos permanentemente,
Durante as primeiras 24 horas você perderá apenas alguns arquivos,
o segundo dia algumas centenas, o terceiro dia alguns milhares e assim por diante.
Se você desligar o computador ou tentar me fechar, quando eu começar da próxima vez
você terá alguns arquivos excluídos como punição.
Acho que a única maneira de descriptografar seus dados é me manter ...
porque eu sou o único que é capaz de decifrar seus dados pessoais para você.
MR.Z3B1 Saúda você e quer que você saiba que o Tempo começou

Por favor, envie $ 500 em Bitcoin aqui: [caracteres aleatórios]
Após o pagamento é feito entre em contato comigo com o seu código [caracteres aleatórios]
onlineservices1@usa.com
[Temporizador de 60 minutos]

Quando as vítimas clicam no botão 'Como Pagar' na janela, a seguinte mensagem é exibida:

'PASSO 1: Registre uma conta gratuitamente em localbitcoins.com
PASSO 2: Entrar no Localbitcoins, por padrão, leva você para a página inicial do recebimento.
PASSO 3: Clique no ícone "Compra rápida", insira os detalhes da quantidade de Bitcoin que você deseja comprar em sua moeda local
PASSO 4: Depois de receber seu Bitcoin, transfira-o para o endereço mencionado antes

Guia de Imagens: Tutorial de Imagens
Guia de vídeo: tutorial do YouTube
Conversor USD para Bitcoin: USD PARA BTC
Instruções E-mail: onlineservices1@usa.com '

Pagando o resgate resulta na seguinte mensagem:

'Se você pagou o valor da solicitação
então parabéns!
insira o código que enviei para você
para restaurar seus dados
~ Mr.Z3B1 gostava de ter tempo com você
[caixa de texto]
[Decodificar Agora|BOTÃO][Cancelar|BOTÃO]'

Lidando com a Infecção do MR.Z3B1 Ransomware

Pagar o resgate do MR.Z3B1 Ransomware pode não resultar na devolução dos arquivos perdidos e, seguindo qualquer uma das suas instruções, pode acabar colocando as vítimas na lista de vítimas dos criminosos para novos ataques. O MR.Z3B1 Ransomware e ameaças semelhantes podem ser ineficazes se as vítimas tiverem cópias de backup dos seus arquivos. Ter backups em um local seguro, tal como a nuvem ou em um dispositivo de memória independente, significa que os usuários de computador não precisarão negociar com os criminosos ou pagar grandes resgates em troca dos seus dados.