Princess Evolution Ransomware

O Princess Evolution Ransomware é um Trojan ransomware de criptografia que é o terceiro lançamento da família de Trojans ransomware Princess Ransomware. Os pesquisadores de malware suspeitam que o Princess Evolution Ransomware e suas variantes façam parte de uma plataforma RaaS (Ransomware as a Service). As primeiras variantes dessa família de Trojans ransomware foram observadas pela primeira vez em 31 de julho de 2018. Os criadores do Princess Evolution Ransomware oferecem esse RaaS a outros criminosos, embolsando 40% dos lucros de todos os ataques.

Como Funciona o Ataque do Princess Evolution Ransomware

O Princess Evolution Ransomware e ameaças semelhantes estão sendo entregues através de anúncios corrompidos. Em muitos casos, os ataques do Princess Evolution Ransomware foram ligados a ataques envolvendo o RIG Exploit Kit. Uma vez que o Princess Evolution Ransomware é instalado, ele realiza o seu ataque, que envolve a criptografia dos arquivos da vítima, utilizando um algoritmo de criptografia forte (na maioria dos casos, o AES e o RSA). O Princess Evolution Ransomware visa arquivos com as seguintes extensões de arquivo (entre outras) no seu ataque:

.ebd, .jbc, .pst, .ost, .tib, .tbk, .bak, .bac, .abk, .as4, .asd, .bak, .backup, .bck, .bdb, .bk1 , .bkc, .bkf, .bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .ful, .gho, .ipd, .nb7, .nba,. nbd, .nbf, .nbi, .nbu, .nco, .oeb, .old, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .win, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .pem, .sgn, .sec, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb , .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf, .xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .txt, .cdr,. jpg, .jpg, .jpeg, .png, .bmp, .jiff, .jpf, .ply, .pov, .raw, .cf, .cfn, .tbn, .xcf, .xof, .key, .eml, .tbb, .dwf, .egg, .fc2, .fcz, .fg, .fp3, .pab, .oab, .psd, .psb, .pcx, .dwg, .dws, .dxe, .zip, .zipx , .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .shy, .snk, .accdb, .ldf, .accdc,. adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb, .kdb, .kdbx, .1cd, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .end, .eog , .erb, .ebb, .prefab, .jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps,. ponto.

O Princess Evolution Ransomware identificará os arquivos danificados com uma extensão de arquivo composta de quatro caracteres aleatórios.

A Nota de Resgate do Princess Evolution Ransomware

O Princess Evolution Ransomware fornece uma nota de resgate na forma de um arquivo de texto chamado '^ _READ_TO_RE5T0RE_ [RANDOM STRING] .txt' e um arquivo HTML chamado '^ _READ_TO_RE5T0RE_ [RANDOM STRING] .html' colocado na área de trabalho do computador infectado. O texto da nota de resgate do Princess Evolution Ransomware diz:

'Seu ID: [dezesseis caracteres aleatórios]
Sua extensão: G8xB
Seus arquivos estão criptografados!
Baixe e instale o Navegador Tor:
http://www.torproject.org/download/download-easy.html
E siga este link pelo Tor Browser:
http://royal666k6zyxnai.onion/
Ou use esta alternativa em qualquer caso excepcional:
http://royal666k6zyxnai.tor2web.top/'

Quando as vítimas do ataque do Princess Evolution Ransomware visitam o portal de pagamento do Princess Evolution Ransomware, elas são recebidas pela seguinte mensagem:

'Seus arquivos estão criptografados
Faça o login na área segura para continuar a descriptografar os seus dados pessoais.
INSERIR ID ABAIXO
[caixa de texto]
[BOTÃO|Enviar]'

As instruções dos criminosos no site de pagamento do Princess Evolution Ransomware dizem:

'O que fazer a seguir?
Primeiro de tudo, olhe para os temporizadores. O superior indica o tempo restante antes do aumento do preço. O inferior indica o tempo restante até a remoção da entrada no banco de dados. Após o seu vencimento, a recuperação dos dados será impossível, o seu login deixará de existir. Você deve agir dentro dos prazos determinados e agora é o melhor momento para começar. Então, você deve perceber que a solução está muito mais próxima do que você imagina. Resumidamente, tudo o que você precisa fazer é: obter o endereço de Bitcoin, aumentar o saldo dele e enviar o saldo para o nosso endereço. Depois de concluir estas etapas simples, você poderá fazer o download do decodificador e recuperar os seus arquivos. Nós iremos guiá-lo através deste processo de baleias para tornar isso ainda mais simples. Siga as instruções abaixo.
1. Navegue até 'buy Bitcoin' na seção superior desta página
2. Escolha a opção preferível e compre a quantidade necessária de Bitcoin
3. Envie exatamente 0.12000 'BTC' para o seguinte endereço Bitcoin
Verifique se o endereço de destino da sua transação corresponde exatamente a esse. Cada símbolo.
4. Espere até que a transação seja confirmada
5. Faça o download e execute o Princess Decryptor'

No entanto, os pesquisadores de segurança do PC recomendam não pagar esse resgate e, em vez disso, restaurar os arquivos criptografados pelo ataque através de backups dos arquivos armazenados na nuvem ou em outro dispositivo externo.

SpyHunter detecta e remove Princess Evolution Ransomware