MS13 Ransomware

O MS13 Ransomware, como a maioria dos Trojans ransomware de criptografia, foi projetado para tornar os arquivos da vítima como refém e exigir um pagamento de resgate. O MS13 Ransomware realiza um ataque de malware eficaz, e é recomendável que os usuários de computador tomem medidas preventivas para manter seus dados afastados do MS13 Ransomware e de ameaças semelhantes. O MS13 Ransomware Trojan é uma variante da família Dharma de ransomware. O MS13 Ransomware foi observado pela primeira vez em 3 de abril de 2019 e parece ter sido criado usando um construtor Dharma Ransomware que foi observado pela primeira vez em 2017. Isso faz parte de um modelo RaaS (Ransomware como um Serviço) usado pelos criminosos para distribuir essa ameaça . Existem inúmeras variantes nessa família de ransomware, todas executando o que é essencialmente a mesma tática de malware.

Como o MS13 Ransomware Ataca uma Máquina

Normalmente, o MS13 Ransomware chega primeiro ao computador por meio de anexos de email de spam corrompidos. Depois que o MS13 Ransomware é instalado, ele usa as criptografias AES e RSA para tornar os arquivos da vítima inacessíveis. O MS13 Ransomware marca os arquivos corrompidos com a string 'id- [8 caracteres aleatórios]. [Ms_13@aol.com] .ms13' adicionando-o no final do nome de cada arquivo. O MS13 Ransomware tem como alvo os arquivos gerados pelo usuário, incluindo vários documentos, arquivos de mídia e bancos de dados. Ameaças como o MS13 Ransomware têm como alvo os arquivos abaixo nestes ataques:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, .qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, .cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Após criptografar os arquivos da vítima, o MS13 Ransomware entrega uma nota de resgate na forma de um arquivo de texto chamado 'FILES ENCRYPTED.txt', que contém a seguinte mensagem para a vítima:

'Todos os seus arquivos foram criptografados!
Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se você deseja restaurá-los, escreva-nos para o e-mail ms_13@aol.com
Escreva este ID no título da sua mensagem [8 caracteres aleatórios]
Em caso de não resposta em 24 horas, escreva-nos para esses e-mails: ms_13@foxmail.com
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento, enviaremos a você a ferramenta de descriptografia que descriptografará todos os seus arquivos. '

Protegendo os Seus Dados contra Ameaças como o MS13 Ransomware

A melhor proteção contra ameaças como o MS13 Ransomware é ter cópias de backup dos seus arquivos. Se você possui backups armazenados na nuvem ou em um dispositivo de memória externo, os criminosos responsáveis pelo MS13 Ransomware perdem toda a alavancagem necessária para exigir um pagamento de resgate. Além dos backups de arquivos, um programa de segurança deve estar instalado e em execução no computador. Isso não restaurará os arquivos criptografados no ataque do MS13 Ransomware, mas pode ser usado para remover ou interceptar essa ameaça.