ORX-Locker

Por CagedTech em Ransomware

O ORX-Locker é uma infecção por um ransomware. Embora o próprio ataque do ORX-Locker não seja diferente da maioria dos outros ransomwares que criptografam arquivos, o ORX-Locker é especialmente ameaçador porque o ORX-Locker está sendo oferecido como um serviço fácil de se usar e que quase qualquer um pode implementar. Qualquer pessoa pode tirar proveito de um ransomware via sites de serviço (RAAS) que surgiram no Darknet. O ORX-Locker é um desses tipos de infecçōes, que são oferecidas em fóruns clandestinos e sites. O ORX-Locker pode permitir que qualquer pessoa, independentemente do conhecimento ou recursos, crie um ransomware, a fim de infectar computadores. Quando as vítimas do ORX-Locker pagam o resgate para recuperar o acesso aos seus arquivos, os provedores do ORX-Locker retém uma parte do valor do resgate. Isso permite que os criadores do ORX-Locker espalhem a infecção sem nenhum esforço adicional. O ORX-Locker não é o primeiro Raas conhecido pelos pesquisadores de segurança. O primeiro, descoberto em maio de 2015, foi chamado de Tox, e foi tirado do ar depois que os seus criadores expressaram remorso pelo caminho que tinham tomado. O ORX-Locker se baseia no Tox, mas possui métodos de ofuscação e evasão adicionais, além de ter expandido os seus métodos de infra-estrutura e comunicação. Quando o Tox foi tirado do ar, os pesquisadores de segurança do PC previram corretamente que novas ofertas de RAAS iriam aparecer, contendo infecções por ransomware mais sofisticados para oferecer aos seus clientes.

Quais são as Supostas Vantagens do ORX-Locker

Os primeiros relatos sobre o ORX-Locker apareceram em 25 de agosto de 2015, quando um artigo publicado em um fórum subterrâneo, escrito por um usuário chamado 'orxteam' anunciou esse Raas. O ORX-Locker é distribuído em um site da Darknet que só requer um registo. Ao visitar esse site, os usuários só precisam digitar um número de identificação, o preço do resgate (que deve ser, no mínimo, US$75) e clicar no botão 'build EXE.' A variante do ORX-Locker é criada automaticamente. Os usuários podem verificar as estatísticas de suas ameaças, o que lhes permite observar quantos computadores foram contaminados, recolher informações sobre os computadores infectados, a hora e a data das infecções, os lucros gerados por cada computador, etc. Os usuários também podem verificar a seu carteira para retirar os ganhos de cada infecção. Os fabricantes do ORX-Locker até mesmo fornecem apoio aos seus usuários.

O Ataque Realizado pelo ORX-Locker

Quando a ameaça é executada, ela se conecta a vários endereços de IP, incluindo vários endereços de IP de Universidades. A seguir estão alguns dos endereços de IP que podem estar ligados ao ORX-Locker:

130[.]75[.]81[.]251 – Leibniz University of Hanover
130[.]149[.]200[.]12 – Technical University of Berlin
171[.]25[.]193[.]9 – DFRI (Organização sueca sem fins lucrativos e apolítica que trabalha pelos direitos digitais)
199[.]254[.]238[.]52 – Riseup (O Riseup fornece ferramentas de comunicação on-line para as pessoas e grupos que trabalham para a mudança social).

Presume-se que a maioria dos endereços de IP associados aos ataques do ORX-Locker pertencem a computadores ou redes que foram comprometidos pelos fabricantes do ORX-Locker. O ORX-Locker usa o TOR para transmitir os seus dados.

O ataque do ORX-Locker, como a maioria dos ransomware criptografadores, envolve o bloqueio de todos os arquivos da vítima, alterando as suas extensōes, neste caso, para .LOCKED e apagando os arquivos originais e cópias de Shadow. As vítimas do ORX-Locker são confrontadas com uma mensagem pop-up e um arquivo de instruções que aparece nos seus desktops. O arquivo, um arquivo HTML que abre no navegador da vítima, vai fornecer uma ID de pagamento e um link para o site da rede do Onion, de modo que a vítima possa pagar, a fim de recuperar o acesso aos arquivos criptografados.

Lidando com o ORX-Locker

Infelizmente, uma vez que o ORX-Locker bloqueia os arquivos da vítima, é quase impossível recuperá-los sem a chave de decodificação. Devido a isso, a melhor proteção contra o ORX-Locker é o backup de todos os arquivos (ou, pelo menos, todos os arquivos importantes), utilizando um dispositivo externo ou o Cloud. Dessa forma, em caso do ataque de um ransomware como o ORX-Locker, as vítimas podem recuperar os seus arquivos através deste backup em vez de pagar o resgate do ORX-Locker. Os analistas de segurança do PC desaconselham a pagar o resgate exigido pelo ORX-Locker já que não existe garantia de que as pessoas responsáveis por este ataque irão restaurar os arquivos criptografados, mesmo que o resgate seja pago.

SpyHunter detecta e remove ORX-Locker

Detalhes Sobre os Arquivos do Sistema

ORX-Locker pode criar o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Detecções
1. 48aa0a8be374691641742a5d81503f127e9dfdc6bbb717bb1c8479a0071486d0.exe d6ed4d4e8b1a95a224ebdd54529b3751 0
2. 61ba68b65d05dcd970640fd0100770981679855fdbbbd57ef5be110ccd33e6d2.exe b3b21bca70389666593960dc1d686189 0
3. 9336c8dbbdd65d18cee1de53ee153aeeb2fd9fcf3ceafb9f251ffcc21bf7211f.exe 1914724aeea3ca954322053dd883b14a 0
4. c8400b635f1b14bef0135631f05ae408bf551dac45fb23c1b26e20d60ea00f08.exe 89e1efdc766e9c7d41305566993ba800 0
5. c9d03e3ff8354e864c8724ff810fd663cca9e4f965517fb659396c33278aa866.exe 942f6d0aadb9697d300e47eafb5c62dd 0

Tendendo

Mais visto

Carregando...