Planetary Ransomware
O Trojan Planetary Ransomware é uma versão do HC7 Ransomware que foi lançado em 5 de abril de 2019. O Planetary Ransomware apresenta pequenas modificações no modelo de criptografia e se comunica com um novo conjunto de servidores de 'Command and Control'. As mudanças implementadas no Planetary Ransomware podem permitir que ele ignore algumas verificações de segurança cibernética, mas o uso inadequado da Internet permite que o malware floresça. Os usuários de PC não devem aceitar arquivos de emails de spam e abrir arquivos protegidos por senha de extração automática de remetentes não verificados.
O Planetary Ransomware pode rodar em sistemas comprometidos como uma falsa instância do Java, Adobe Reader e Windows Update. O Trojan Planetary Ransomware é conhecido por usar chaves de criptografia exclusivas e apagar os instantâneos do Shadow Volume feitos pelo Windows. O Planetary Ransomware está associado a vários marcadores de arquivo que os fornecedores de anti-vírus usam para nomear versões do programa. Vimos o Planetary Ransomware adicionar extensões como '.Mercury', '.pluto', 'mury', 'Netuno', '.yum' e '.mira'. Por exemplo, 'Genetic robustness.pptx' pode ser transformado em 'Genetic robustness.pptx.pluto' e várias outras iterações. Uma análise de amostras enviadas pelo usuário mostra que o Planetary Ransomware pode eliminar uma das duas notas de resgate. Exemplos delas estão listados abaixo:
- Versão 1:
- Versão 2:
'!!! ATENÇÃO, SEUS ARQUIVOS FORAM ENCRIPTADOS !!!
Por favor, siga alguns passos abaixo:
1. envie-nos o seu ID.
2. podemos descriptografar 1 arquivo o que você se certificar de que temos ferramenta decription!
3. Então você receberá instruções de pagamento e após o pagamento, você receberá sua ferramenta de descriptografia!
Não tente renomear arquivos !!! Só podemos descriptografar todos os seus dados!
Contate-Nos:
getmydata@india.com
mydataback@aol.com
Seu ID: [redigido 64 em maiúsculas hex]: [redigido 64 em maiúsculas hexadecimais com traços]
[redigido 64 hexágonos maiúsculos com traços]: [redigido 64 hexágonos maiúsculos com traços] '
'TODOS OS ARQUIVOS ESTÃO ENCRIPTADOS.
PARA RESTAURAR, VOCÊ DEVE ENVIAR $ 700 EQUIVALENTES PARA UM COMPUTADOR
OU US $ 5.000 PARA TODA A REDE
PAGAMENTOS ACEITES VIA BITCOIN, MONERO E ETHEREUM
ENDEREÇO BTC: [bitcoin_address]
ENDEREÇO MONERO (XMR): [monero_address]
FALE CONOSCO QUANDO INFORMAÇÕES SOBRE PAGAMENTO COM O ETHEREUM
ANTES DO PAGAMENTO ENVIADO E-MAIL m4rk0v@tutanota.de
JUNTO COM SUA IDENTIDADE: [base64_encoded_computer_name]
INCLUIR ARQUIVO AMOSTRA ENCRIPTADO PARA A PROVA DE DESCRIPTO
NÃO PARA DESLIGAR O SEU COMPUTADOR, A MENOS QUE IRÁ QUEBRAR
Não há como provar se as notas de resgate são indicativas de duas equipes separadas usando a mesma versão do Planetary Ransomware. No entanto, as máquinas infectadas parecem incluir notas de resgate diferentes com base na entidade que as opera. PCs domésticos comprometidos pelo Planetary Ransomware parecem receber a "nota de resgate ver 1."
Por outro lado, as máquinas empregadas em ambientes de negócios recebem a "nota de resgate ver 2". Usuários regulares e empresas afetadas pelo Planetary Ransomware podem experimentar o "Planetary/Mira Ransomware Decryptor" gratuito fornecido pelos fornecedores de anti-vírus. Não pague os desenvolvedores do Planetary Ransomware e tente recuperar seus dados usando o instrumento mencionado anteriormente. É melhor limpar as máquinas comprometidas usando um utilitário de segurança de computador atualizado.
