Nova Variante do Police/Ukash Ransomware Criptografa Arquivos Pessoais da Vítima
Nossa equipe de pesquisa ESG encontrou uma nova variação do ransomware Ukash ou vírus Ukash que utiliza um método para criptografar arquivos e requer um código para descriptografá-los. Essa descoberta está logo atrás de um pequeno número de usuários de computador que nos informam casos em que o ransomware Ukash não pode ser removido pelo aplicativo anti-spyware ou antivírus. Vimos inúmeras instâncias em que ameaças de malware agressivas têm arquivos criptografados, mas a idéia de uma variação mais recente do ransomware Ukash com funcionalidade de criptografia à solta mostra que os golpistas estão constantemente desenvolvendo métodos mais agressivos para alcançar o próximo passo na evolução do scareware.
Índice
O Que é o Police/Ukash Ransomware?
Os Police/Ukash Ransomware é um dos muitos ransomwares emergentes que utilizam notificações com palavras agressivas, alegando que as autoridades do FBI ou de outras agências policiais detectaram atividades ilegais, e o usuário do PC deve pagar uma multa por meio de sistemas de pagamento online legítimos MoneyPak ou Ukash. Essas ameaças recebem o nome de 'ransomware' devido ao fato de exigirem o pagamento de uma multa enquanto bloqueia o computador infectado, alegando que será desbloqueado quando o pagamento for recebido. No caso do FBI Moneypak Ransomware e outros, como o FBI Moneypak Ransomware, Reveton Ransomware e o FBI Green Dot Moneypak Ransomware, eles não conseguem desbloquear um sistema após o pagamento da multa. Basicamente, os hackers no front-end dessas ameaças têm como objetivo coletar dinheiro e não fornecer qualquer indulto por fazer isso ao usuário do computador.
Detalhes sobre a Variante Agressiva do Ukash Virus com Criptografia de Arquivos
Na descoberta de nossos arquivos criptografados pelo ransomware Police/Ukash, nossos pesquisadores descobriram onde a infecção cria um arquivo de arquivos com a extensão '.als'. É possível que o malware tenha evoluído para mesclar arquivos em uma única estrutura e impedir o acesso sem um código de descriptografia. O método de recuperar a chave de criptografia comparando um par de arquivos e depois usá-lo para descriptografar os arquivos 'bloqueados' tornou-se um método de remoção obsoleto com a variante mais recente do ransomware Police / Ukash.
No passado, ransomware como o Police/Ukash ransomware eram previsíveis onde eles ocasionalmente trancariam um sistema e, em seguida, assustariam repetidamente os usuários sobre assistir pornografia e impedir a execução de programas como o Gerenciador de Tarefas. Já sabemos há algum tempo que um ransomware comum desse calibre alega que um usuário de PC deve pagar uma taxa para desbloquear o computador, mas que realmente nunca cumpre essa promessa. No caso do ransomware Police/Ukash, os pagamentos são coletados através do Ukash ou MoneyPak e o PC supostamente receberá um código para descriptografar os arquivos que foram criptografados. Entre os arquivos criptografados, encontramos os tipos .jpg, .doc, .pdf e até .xls.
A análise da criptografia de arquivos que está ocorrendo com esta nova variante do ransomware Ukash revelará novos processos ctfmon.exe ou svhost.exe gerados para injetar seu próprio código. Amostras da pasta% TEMP% são realmente executadas para injetar o código inicialmente. Essencialmente, essas ações impedirão a remoção manual e inutilizarão muitos arquivos criptografados. No geral, o sistema não irá parar de funcionar, mas muitos aplicativos de terceiros serão interrompidos a ponto de não serem mais executados.
A CBS Investiga Casos Reais de Fraude de Resgate de Computadores no Vídeo Abaixo.
O Que Fazer Quando um Ransomware Criptografa os Seus Dados?
Apesar de haver pouco usuário de computador para recuperar arquivos após serem afetados pela criptografia da nova variante do ransomware Police / Ukash, os usuários de PC podem tentar recuperar seus arquivos desconectando o sistema imediatamente quando a mensagem de aviso é exibida. Ao desconectar o sistema, ele impede que o malware continue criptografando outros arquivos. O processo de criptografia leva tempo e interrompê-lo desconectando o computador manterá alguns dados intactos, para que não sejam criptografados. A continuação do processo de criptografia começará quando o sistema for inicializado novamente, mas os usuários de PC nesse momento podem tomar as precauções necessárias ao inicializar a partir de uma unidade externa ou mídia inicializável (CD ou DVD com o sistema operacional carregado).
Embora toda a tentativa de recuperar arquivos não danificados possa ser um pouco complexa, vale a pena no esquema, considerando o quão destrutivo o vírus Ukash pode ser em sua forma mais recente. Outra família de ransomware destrutiva que foi detectada no passado é chamada Gpcode. O Gpcode gera uma criptografia de chave AES de 256 bits que cai na área de trabalho de um computador infectado. Uma amostra de malware mais antiga, agora detectada por programas anti-spyware, é chamada Trojan-Ransom.Win32.Gpcode.bn e se comporta de maneira semelhante à variação mais recente do ransomware Police / Ukash. Ele verifica se os arquivos são criptografados no disco rígido enquanto as extensões são usadas para determinar se um arquivo deve ser criptografado com base em seu tipo e se é um arquivo de configuração ou não.
Algumas amostras de arquivos criptografados foram utilizadas para utilizar cadeias fixas para gerar uma chave de criptografia. A amostra examinada também envia solicitações juntamente com o ID do computador infectado para um servidor de comando e controle para receber comandos adicionais. É possível que as ações de criptografia de arquivos posteriormente atuem como uma botnet, mas gere uma chave aleatória, toda mascarada pela mensagem de ransomware estampada na tela do computador.
Com esta nova variante em nossas mãos, é evidente que a evolução do ransomware ocorreu para gerar uma forma muito mais agressiva. Esse novo formulário, através da criptografia de arquivos, pode ser extremamente destrutivo. Agora, os pesquisadores da ESG estão investigando profundamente a estrutura e a base desse novo ransomware para descobrir detalhes adicionais, que nos ajudarão a proteger os usuários de PC contra ameaças futuras do que parece ser uma forma muito mais agressiva do ransomware Police/Ukash.