PooleZoor Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Nível da Ameaça: | 100 % (Alto) |
Computadores infectados: | 2 |
Visto pela Primeira Vez: | August 14, 2018 |
Visto pela Última Vez: | August 29, 2018 |
SO (s) Afetados: | Windows |
O PooleZoor Ransomware é um Trojan ransomware de criptografia que foi observado pela primeira vez pelos analistas de malware na segunda semana de agosto de 2018. O PooleZoor Ransomware foi observado pela primeira vez através de um site do Blogspot associado a essa ameaça, que foi removido pelo Google depois que os pesquisadores observaram as suas atividades . Os analistas de malware estudaram o PooleZoor Ransomware e observaram que as primeiras amostras associadas ao PooleZoor Ransomware parecem ter origem em um endereço de IP iraniano e o código associado ao PooleZoor Ransomware tem comentários em persa, fazendo com que seja provável que o PooleZoor Ransomware venha dessa parte do mundo. O PooleZoor Ransomware é quase idêntico à maioria dos Trojan ransomware de criptografia, de modo que, seguindo as etapas corretas, você pode garantir que os seus dados estejam bem protegidos contra essa e ameaças similares.
Índice
Como o PooleZoor Ransomware Ataca um Computador
Os ataques PooleZoor Ransomware parecem ter como alvo grandes organizações e servidores da Web, em vez de usuários de computador individuais. O PooleZoor Ransomware é uma variante do HiddenTear, uma plataforma de ransomware de código aberto lançada pela primeira vez em 2015 e que tem servido de base para inúmeras variantes nesta tática de malware. O PooleZoor Ransomware usa a criptografia AES para tornar os arquivos da vítima inacessíveis e adiciona a extensão de arquivo '.poolezoor' a cada arquivo afetado pelo ataque. Infelizmente, as variantes do HiddenTear usam um método de criptografia forte que não pode ser quebrado sem a chave de descriptografia, que os criminosos mantêm em sua posse. Os analistas de malware aconselham os usuários de computador a manter os seus arquivos em backups para que, no caso de um ataque, possam recuperar os seus dados.
Outras Ações Executadas pelo PooleZoor Ransomware
O PooleZoor Ransomware tem como alvo os arquivos gerados pelo usuário, evitando os arquivos de sistema do Windows. Isso garante que a vítima possa ler a nota de resgate e pagar o resgate, o que não seria possível se o computador da vítima parasse de funcionar. O PooleZoor Ransomware tem como alvo os arquivos subseqüentes:
.ebd, .jbc, .pst, .ost, .tib, .tbk, .bak, .bac, .abk, .as4, .asd, .bak, .backup, .bck, .bdb, .bk1 , .bkc, .bkf, .bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .ful, .gho, .ipd, .nb7, .nba,. nbd, .nbf, .nbi, .nbu, .nco, .oeb, .old, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .win, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .pem, .sgn, .sec, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb , .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf, .xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .txt, .cdr,. jpg, .jpg, .jpeg, .png, .bmp, .jiff, .jpf, .ply, .pov, .raw, .cf, .cfn, .tbn, .xcf, .xof, .key, .eml, .tbb, .dwf, .egg, .fc2, .fcz, .fg, .fp3, .pab, .oab, .psd, .psb, .pcx, .dwg, .dws, .dxe, .zip, .zipx , .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .shy, .snk, .accdb, .ldf, .accdc,. adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb, .kdb, .kdbx, .1cd, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .end, .eog , .erb, .ebb, .prefab, .jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps,. ponto.
O PooleZoor Ransomware usa um algoritmo de criptografia forte para danificar os arquivos da vítima e, em seguida, envia uma nota de resgate para o computador da vítima. Essa nota de resgate está em um arquivo de texto chamado 'READ_me_for_encrypted_files.txt' e entrega a seguinte mensagem, escrita em persa:
'Arquivos foram criptografados com PooleZoor
Pague 10.000.000 Riyal, devolva seus arquivos
Esse dinheiro vai para uma boa ação.
Lidando com o PooleZoor Ransomware
O resgate exigido pelo PooleZoor Ransomware é de quase três milhões de dólares! Isso pode indicar que o PooleZoor Ransomware ainda está inacabado, ou que os criminosos não têm intenção de exigir um resgate de suas vítimas. Em qualquer caso, não é recomendado que os usuários de computador entrem em contato com os criminosos ou tentem fazer qualquer pagamento. Em vez disso, os usuários de computador podem usar cópias de backup dos seus arquivos ou imagens do sistema para restaurar qualquer conteúdo criptografado pelo PooleZoor Ransomware.