Pshcrypt Ransomware

O PshCrypt Ransomware é um Trojan ransomware que está sendo usado para atacar os usuários de computador localizados no Brasil. Os ataques do PshCrypt Ransomware surgiram a partir de abril de 2017 e afetam os computadores que executam o sistema operacional do Windows. Embora os ataques do PshCrypt Ransomware pareçam estar concentrados no Brasil, nada impede que eles apareçam em outras localizações geográficas. A maioria dos ataques do PshCrypt Ransomware parecem ser o resultado do comprometimento de computadores e redes através de Conexões Remotas do Desktop ou senhas fracas.

Os Servidores da Web e as Redes Corporativas são os Principais Alvos do PshCrypt Ransomware

O alvo principal dos ataques do PshCrypt Ransomware são servidores da Web e redes corporativas. As pessoas responsáveis pelo PshCrypt Ransomware vão procurar computadores e redes mal protegidos, aproveitando-se de senhas fracas ou outras vulnerabilidades possíveis. O arquivo que contém o ataque do PshCrypt Ransomware foi muitas vezes identificado como 'Xexplorer.exe'. Uma amostra do PshCrypt Ransomware forneceu as seguintes informações:

'Direitos Autorais: Direitos Autorais © Penis 2017
Produto: Um bite
Nome original: XExplorer.exe
Nome interno: XExplorer.exe
Versão do arquivo: 9999.9999.9999.9999
Descrição: Windows Explorer
Comentários: Windows Explorer

O PshCrypt Ransomware executa um ataque típico de um ransomware, usando as criptografias AES e RSA para tornar os arquivos da vítima inacessíveis, criptografando-os e impedindo o acesso à chave de descriptografia necessária para recuperar os arquivos afetados. O PshCrypt Ransomware vai criptografar arquivos em todas as unidades locais, bem como em armazenamento de redes e dispositivos de memória removíveis conectados ao computador afetado. O PshCrypt Ransomware vai criptografar uma grande variedade de tipos de arquivo, incluindo o seguinte:

.png, .psd, .pspimage, .tga, .thm, .tif, .tiff, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .pdf, .xlr, .xls, .xlsx, .accdb, .db, .dbf, .mdb, .pdb, .sql, .apk, .app, .bat, .cgi, .com, .exe, .gadget, .jar, .pif, .wsf, .dem, .gam, .nes, .rom, .sav, .dwg, .dxf, .gpx, .kml, .kmz, .asp, .aspx, .cer, .cfm, .csr, .css, .htm, .html, .js, .jsp, .php, .rss, .xhtml, .doc, .docx, .log, .msg, .odt, .pages, .rtf, .tex, .txt, .wpd, .wps, .csv, .dat, .ged, .key, .keychain, .pps, .ppt, .pptx, .ini, .prf, .hqx, .mim, .uue, .7z, .cbr, .deb, .gz, .pkg, .rar, .rpm, .sitx, .tar.gz, .zip, .zipx, .bin, .cue, .dmg, .iso, .mdf, .toast, .vcd, .sdf, .tar, .tax2014, .tax2015, .vcf, .xml, .aif, .iff, .m3u, .m4a, .mid, .mp3, .mpa, .wav, .wma, .3g2, .3gp, .asf, .avi, .flv, .m4v, .mov, .mp4, .mpg, .rm, .srt, .swf, .vob, .wmv, .3d, .3dm, .3ds, .max, .obj, .bmp, .dds, .gif, .jpg,.crx, .plugin, .fnt, .fon, .otf, .ttf, .cab, .cpl, .cur, .dll, .dmp, .drv, .icns, .ico, .lnk, .sys, .cfg

Os arquivos criptografados durante o ataque do PshCrypt Ransomware podem ser identificados pela extensão de arquivo '.psh', adicionada ao final do nome de cada arquivo. Depois de criptografar os arquivos da vítima, o PshCrypt Ransomware exibe uma nota de resgate mal escrita, alertando a vítima sobre o ataque e exigindo o pagamento de um resgate:

'Tour files are encrypted !
Enter the serial code to decrypte your file
How to get a serial key :
First buy 0.05 bitcoin
Than send this 0.05 bitcoin to this bitcoin wallet :
Then take the 4 first character of the transaction ID
Then press the "Decrypte" button
Serial code : (Only Upper)
[FOUR TEXT BOXES]
[Decrypte]
Warning :
If your transaction number don't work, please wait up to 48 hours (2 day) and retry'

Traduzida para o português (desconsiderando-se os erros ortográficos):

Os seus arquivos foram criptografados!
Digite o código de série para decodificar o seu arquivo
Como obter uma chave de série:
Primeiro compre 0,05 bitcoin
Então envie esse 0,05 bitcoin para esta carteira de bitcoin:
Em seguida, pegue os 4 primeiros caracteres do ID da transação
Em seguida, pressione o botão "Decodificar"
Código de série: (somente maiúsculas)
[QUATRO CAIXAS DE TEXTO]
[Decodificar]
Atenção :
Se o seu número de transação não funcionar, aguarde até 48 horas (2 dias) e tente novamente

O Montante do Resgate Exigido pelo PshCrypt Ransomware

O PshCrypt Ransomware exige 0.05 Bitcoin (aproximadamente $70 USD). Essa é uma pequena quantia em comparação com o preço médio que varia de US$500 a $1500 USD usado pela maioria dos Trojans ransomware. No entanto, aos pesquisadores de segurança do PC aconselham os usuários de computador a se absterem de pagar esses resgates, uma vez que isso simplesmente permite que essas pessoas continuam a financiar a produção de Trojans ransomware como esse. O número de ataques ativos de ransomware continua a aumentar, e a mudança para resgates mais baixos observada em muitos deles, pode ser em parte devido à concorrência e à recusa de muitas vítimas a pagar. É importante, no futuro, continuar a ignorar qualquer exigência desses fraudadores, uma vez que o pagamento, muitas vezes, leva a nova exigências ou reinfecção.

SpyHunter detecta e remove Pshcrypt Ransomware