ONI Ransomware

O ONI Ransomware é um Trojan que é usado para atacar os usuários de computador, muitas vezes em associação com ameaças projetadas para coletar credenciais bancárias on-line relacionadas aos bancos japoneses. O ONI Ransomware executa um ataque de ransomware de criptografia altamente eficaz que limpa o Master Boot Record (MBR) do computador da vítima. O ONI Ransomware e várias ameaças a ele relacionadas estão ativos desde o final da primavera de 2017, com o ONI Ransomware aparecendo no início de novembro de 2017. O ONI Ransomware será usado para tomar os arquivos da vítima como reféns em troca de um pagamento. O ONI Ransomware também pode ser usado para limpar os discos rígidos da vítima, causando uma perda catastrófica de dados.

Desta Vez, os CyberCrooks Usaram um Demônio Japonês para dar Nome ao Ransomware

O ONI Ransomware está sendo distribuído através de uma campanha de e-mails corrompidos que usam e-mails de phishing para entregar arquivos ZIP comprometidos às vítimas. Esses arquivos ZIP contêm documentos danificados do Microsoft Word que incluem scripts corrompidos de macro, que baixam e instalam o ONI Ransomware e outras ameaças no computador da vítima. O ONI Ransomware foi associado a um RAT projetado para instalar keyloggers e outras ameaças nos computadores da vítima. As pessoas associadas ao ONI Ransomware usaram esse RAT para excluir todos os traços do seu ataque dos computadores das vítimas para evitar que a polícia e os pesquisadores de segurança do PC localizem o ataque do ONI Ransomware, bem como as pessoas relacionadas a essa infecção .

O ONI Ransomware codificará os arquivos das vítimas usando um algoritmo de criptografia muito competente, que altera o nome dos arquivos da vítima para adicionar a extensão de arquivo '.oni' ao final dos nomes de cada arquivo afetado. O ONI Ransomware usa uma combinação das criptografias RSA 2048 e AES 256 para tornar os arquivos da vítima inacessíveis permanentemente. Em seu ataque, o ONI Ransomware enviará uma nota de resgate chamada '!!!README!!!.html', que é exibida na área de trabalho do computador infectado assim que os arquivos forem modificados. O texto completo da nota de resgate do ONI Ransomware, em japonês, é o seguinte:

'重要な情報!
すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。
心配しないで、すべてのファイルを元に戻すことができます。
すべてのファイルを素早く安全に復元できることを保証します。
ファイルを回復する手順については、お問い合わせ。
信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。
(ファイルサイズ10MB未満、機密情報なし)
連絡先
hyakunoonigayoru@yahoo.co.jp'

A tradução da mensagem acima para inglês é:

'Informação importante!
Todos os arquivos foram criptografados usando criptografia RSA-2048 e a AES-256.
Não se preocupe, você pode restaurar todos os arquivos.
Garantimos que todos os arquivos podem ser restaurados com segurança de forma rápida e segura.
Para obter instruções sobre como recuperar arquivos, entre em contato conosco.
Para provar confiabilidade, você pode decifrar dois arquivos gratuitamente. Envie-nos um arquivo e um identificador pessoal.
(O tamanho do arquivo é inferior a 10 MB, sem informações confidenciais)
Endereço de contato
hyakunoonigayoru@yahoo.co.jp'

A novidade Incluída na Infecção pelo ONI Ransomware

Essa ameaça também realiza um ataque mais sofisticado que criptografa a unidade completa da vítima (como mencionado anteriormente, existem várias variantes desse Trojan ransomware). Quando isso acontece, o sistema operacional da vítima se recusa a carregar e a seguinte mensagem aparecerá no BIOS:

'Os seus dados estão CODIFICADOS!
Você não irá descodificá-los sem a nossa ajuda? Sua identificação: ***
Entre em contato conosco: oninoy0ru @ ***
SENHA: _'