Plague17 Ransomware
Recentemente, os pesquisadores de malware descobriram uma nova ameaça de ransomware chamada Plague17 Ransomware. Após uma inspeção mais aprofundada, parece que esse Trojan de bloqueio de dados não pertence a nenhuma das famílias populares de ransomware.
Os especialistas em segurança cibernética ainda não foram capazes de determinar com certeza quais são os vetores de infecção usados na propagação desse Trojan com criptografia de arquivos. Especula-se amplamente que os criadores do Plague17 Ransomware podem ter usado alguns dos métodos mais populares de propagação de ameaças de ransomware, como campanhas de e-mail de spam em massa que carregam anexos infectados, atualizações fraudulentas de software e cópias piratas falsas de aplicativos populares. Se o Plague17 Ransomware conseguir comprometer seu sistema, ele começará o ataque executando uma digitalização rápida, que visa localizar todos os arquivos que esse Trojan de bloqueio de dados deve criptografar na próxima fase do ataque. Quando isso for feito, o Plague17 Ransomware continuará com seu processo de criptografia. O Plague17 Ransomware renomeia todos os arquivos bloqueados seguindo este padrão - '
Em seguida, o Plague17 Ransomware exibe a sua nota de resgate, que é chamada de 'Plague17.txt'. A nota está disponível apenas em russo. Na nota, os atacantes alertam a vítima para não renomear nenhum dos arquivos bloqueados e não tentar usar uma ferramenta de descriptografia de terceiros, pois alegam que isso fará com que o usuário perca todos os seus dados permanentemente. Os autores do Plague17 Ransomware fornecem à vítima um endereço de e-mail onde eles exigem ser contatados - 'plague17@riseup.net'. Eles também afirmam que o usuário deve incluir todo o texto da nota de resgate em seu email ou digitar o número '68286653' como alternativa.
O Plague Ransomware também pode se espalhar por um vetor de infecção por conta-gotas, que inicia o script malicioso do ransomware. A ameaça também pode se distribuir por meio de arquivos de carga útil em serviços de compartilhamento de arquivos e/ou mídia social. Em alguns casos, esse tipo de ameaça também pode ser visto se espalhando via freeware através de pacotes de software.
A tela de bloqueio e as notas de resgate do Plague Ransomware contêm a seguinte mensagem em russo destinada a assustar os usuários a pagarem as demandas de resgate:
'Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .PLAGUE17
Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.Напишите нам письмо на адрес plague17@riseup.net , чтобы узнать как получить дешифратор.
Если мы Вам не ответили в течении 3 часов – повторите пересылку письма.
В письмо вставьте текст из файла 'PLAGUE17.txt' или напишите номер – 68286653
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.'
A nota traduzida contém aproximadamente a seguinte mensagem:
'Atenção!
Se você ler esta mensagem, significa que seu computador foi atacado por um vírus perigoso.
Todas as suas informações (documentos, bancos de dados, backups e outros arquivos) neste computador foram criptografadas.Todos os arquivos criptografados têm a extensão.PLAGUE17
Nunca modifique os arquivos! E não use decodificadores de outras pessoas, você pode perder seus arquivos para sempre.Envie um email para plague17@riseup.net para descobrir como obter o decodificador.
Se não respondermos dentro de 3 horas, reenvie a carta.
Insira o texto do arquivo 'PLAGUE17.txt' na letra ou escreva o número - 68286653
Na primeira carta, não anexe arquivos para descriptografia. Você receberá todas as instruções em uma carta de resposta.
Os usuários são aconselhados a evitar pagar qualquer tipo de resgate, pois não há garantia de que ocorra qualquer descriptografia.
É possível que o Plague Ransomware possa criar entradas do Registro do Windows para obter persistência nos sistemas infectados e também pode iniciar ou interromper processos em execução em segundo plano. Todos os arquivos criptografados são anexados à extensão .PLAGUE17 ao lado de um nome gerado aleatoriamente para tornar o arquivo original indistinguível antes da infecção. Os arquivos afetados abrangem uma variedade de arquivos de áudio, vídeo, documentos e imagens, bem como backups de dados e dados bancários:
.$$$, .[0-9]+, .~ini, .~klt, .1cd, .1cd2, .1cl, .1ey, .1txt, .2, .2cd, .6t[0-9], .6tr, .7z, .7zip, .8t0, .8tr, .9tr, .a2u, .a3d, .aad, .abd, .accdb, .adb, .adi, .afd, .ai, .als, .amp, .amr, .ans, .apc, .apk, .apx, .arc, .arch, .arh, .arj, .atc, .atg, .ava, .avhd, .avhdx, .awr, .axx, .bac[0-9], .backup, .bak, .bck, .bco, .bcp, .bde, .bdf, .bdf, .bf, .bf3, .bg, .bip, .bkc, .bkf, .bkp, .bks, .blb, .blf, .blk, .bln, .bls, .bls, .bmp, .box, .bpl, .bpn, .btr, .burn, .bz, .bz2, .car, .cbf, .cbm, .cbu, .cdb, .cdr, .cdx, .cer, .cf, .cfl, .cfu, .cia, .cmt, .cnc, .cpr, .cr2, .cripted, .criptfiles, .crypt, .csv, .ctl, .ctlg, .cuc, .cui, .cuix, .custom, .dafile, .data, .db, .db[0-9], .dbf, .dbk, .dbs, .dbt, .dbx, .dcf, .dcl, .dcm, .dct, .dcu, .dd, .ddf, .ddt, .dfb, .dff, .dfp, .dgdat, .dic, .diff, .dis, .djvu, .dmp, .doc, .docx, .dot, .dpr, .dproj, .drs, .dsus, .dt, .dtz, .dump, .dwg, .dz, .ect, .edb, .efd, .efm, .eif, .elf, .eml, .enc, .enz, .epf, .eps, .erf, .ert, .esbak, .esl, .eso, .etw, .export, .fbf, .fbk, .fdb, .fdb[0-9], .fi, .fil, .fkc, .fld, .flx, .fob, .fpf, .fpt, .frf, .frm, .frp, .frw, .frx, .fxp, .gbk, .gbp, .gd, .gdb, .gdoc, .gfd, .gfo, .gfr, .gho, .ghost, .ghs, .gif, .gopaymeb, .gpd, .granit, .grd, .gsheet, .gsn, .gz, .gzip, .hbi, .hbk, .hdf, .his, .hive, .htm, .html, .ib, .idf, .idx, .ifm, .ifo, .ifs, .ima, .img, .imgc, .imh, .imm, .indd, .info, .ipa, .ips, .irsf, .irsi, .irss, .iso, .isz, .iv2i, .jbc, .jpeg, .jpg, .jrs, .kdc, .keg, .key, .klt, .kmn, .kpm, .kwm, .laccdb, .last, .lay6, .lbl, .ldb, .ldf, .ldif, .ldw, .lg, .lgd, .lgf, .lgp, .lic, .lis, .lky, .lnk, .local, .lock, .lrv, .lsp, .lst, .lvd, .lzh, .m2v, .mac, .mak, .map, .max, .mb, .mbox, .mcx, .md, .md5, .mdb, .mde, .mdf, .mdmp, .mdt, .mdw, .mdx, .meb, .mft, .mig, .mkd, .mnc, .mnr, .mns, .mod, .mov, .msf, .mtl, .mxl, .mxlz, .mxlz, .myd, .myi, .n[0-9], .nag, .nbi, .nbk, .nbr, .nc, .nd[0-9], .ndf, .ndt, .nef, .new, .nif, .nrg, .nsf, .ntx, .nvram, .obf, .ods, .odt, .ogd, .ok, .okk, .old, .one, .onetoc2, .ora, .ord, .ost, .out, .ovf, .oxps, .p12, .packed, .pak, .pas, .paycrypt@gmail_com, .pbd, .pbf, .pck, .pdf, .pdt, .pf, .pfi, .pfl, .pfm, .pfx, .pgd, .pgp, .php, .pka, .pkg, .pkr, .plan, .plb, .pln, .plo, .pm, .pml, .png, .pnl, .ppd, .ppsx, .ppt, .pptx, .prb, .prg, .prk, .profile, .prv, .ps1, .psd, .psl, .pst, .pwd, .pwm, .px, .py, .q1c, .qib, .qrp, .qst, .rar, .rbf, .rcf, .rdf, .rec, .rep, .repx, .req, .res, .rez, .rgt, .rk6, .rn, .rpb, .rpt, .rst, .rsu, .rtf, .rvs, .sac, .sacx, .save, .saved, .sbin, .sbk, .sbp, .scn, .sct, .scx, .sdb, .sdf, .sdl, .sel, .sem, .sfpe, .sfpz, .sgn, .shd, .shdb, .shdl, .shs, .skr, .sln, .smf, .smfx, .sna, .snp, .sob, .sobx, .spr, .sql, .sqlite, .sqm, .sqx, .srx, .ssd, .ssf, .ssp, .sst, .st[0-9], .stm, .stop, .str, .sv2i, .svc, .svp, .tab, .tar, .tbb, .tbc, .tbh, .tbi, .tbk, .tbl, .tbn, .tdb, .tgz, .thm, .tib, .tid, .tmf, .tmp, .tmp0, .tnx, .tpl, .tps, .trc, .trec, .trn, .tst, .twd, .txt, .ua_, .udb, .unf, .upd, .utf, .v2i, .v8i, .vault, .vbe, .vbk, .vbm, .vbx, .vct, .vcx, .vdb, .vdi, .ver, .vhd, .vhdx, .vib, .viprof, .vlx, .vmcx, .vmdk, .vmem, .vmp, .vmpl, .vmrs, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vpc, .vrd, .vrfs, .vsd, .vsv, .vswp, .vvr, .vvv, .wallet, .war, .wav, .wbcat, .wbverify, .wid, .wim, .wnw, .wrk, .wsb, .xch, .xg0, .xls, .xlsb, .xlsm, .xlsx, .xml, .xsc, .xsd, .xstk, .xtbl, .xxx, .xz, .yg0, .ytbl, .zip, .zrb, .zsp, .zup .БРОНЬ
Outra habilidade perigosa possuída por essa ameaça de ransomware é a capacidade de apagar todas as Cópias do Shadow Volume do sistema operacional Windows usando o seguinte comando:
→ vssadmin.exe excluir sombras / tudo / Silencioso
Recomendamos que você resista a qualquer desejo de entrar em contato com os cibercriminosos responsáveis pelo Ransomware Plague17. Em vez disso, você deve obter uma ferramenta anti-malware segura e usá-la para livrar o seu sistema do Plague17 Ransomware.
