Pysa Ransomware

O Pysa Ransomware é uma das mais recentes ameaças de ransomware detectadas. Depois que os pesquisadores de segurança cibernética que avistaram o Pysa Ransomware analisaram mais profundamente, descobriram que essa ameaça pertence à família do Mespinoza Ransomware. A maioria das ameaças de ransomware opera de maneira bastante idêntica - elas se infiltrariam em um sistema de destino, criptografariam os dados presentes nele e pediriam à vítima que pagasse uma taxa de resgate para obter uma chave de descriptografia, que deveria desbloquear os arquivos afetados . Na maioria das vezes, os autores de ransomware exigiriam uma quantia bastante alta, raramente menos de várias centenas de dólares.

Propagação e Criptografia

Muitos criadores de ameaças de ransomware optam por usar campanhas de e-mail de spam em massa para propagar seus cavalos de Troia com criptografia de arquivos. Normalmente, isso é feito com um email que contém uma mensagem falsa projetada para convencer o alvo a iniciar um anexo aparentemente inofensivo. Infelizmente, o anexo geralmente é com macros e comprometeria o sistema ao executá-lo. Existem vários outros vetores de infecção que são ferramentas bastante populares para distribuir ameaças dessa classe - downloads e atualizações fraudulentos de software, cópias falsas de aplicativos ou mídias populares, rastreadores de torrents etc. O Pysa Ransomware assegura-se de criptografar uma grande variedade de tipos de arquivos populares, que podem ser encontrados no PC de qualquer usuário comum - .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .docx, .ppt, .rar, .xls, .xlsx, etc. Depois que o Pysa Ransomware aplicar seu algoritmo de criptografia e bloquear os dados de destino, todos os arquivos afetados será inutilizado. A extensão, que o Pysa Ransomware anexa aos arquivos bloqueados recentemente, é '.pysa'. Por exemplo, um arquivo de áudio chamado 'shining-lights.mp3' antes do ataque ocorreu, teria seu nome alterado para 'shining-lights.mp3.pysa' quando esse Trojan de bloqueio de dados o criptografar.

A Nota de Resgate

Após a conclusão do processo de criptografia, o Pysa Ransomware descartará sua mensagem de resgate em um arquivo chamado 'Readme.README.txt'. A nota diz:

'Oi Empresa,

Cada byte em qualquer tipo de dispositivo foi criptografado.
Não tente usar backups porque eles também foram criptografados.
Para recuperar todos os seus dados, entre em contato conosco:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
PERGUNTAS FREQUENTES:
1
P: Como posso ter certeza de que você não está me enganando?
A: você pode nos enviar 2 arquivos (max 2mb).
2)
P: O que fazer para recuperar todos os dados?
R: Não reinicie o computador, não mova arquivos e escreva-nos.
3)
Q: O que dizer ao meu chefe?
A: Proteja seu sistema, amigo.

Na mensagem de resgate, os invasores deixam claro que os dados do usuário foram comprometidos e que eles precisarão pagar uma taxa de resgate, se quiserem recuperar seus dados. Os autores do Pysa Ransomware afirmam que desbloqueariam dois arquivos gratuitamente, desde que não tenham mais de 2 MB de tamanho. Isso serve para provar que os atacantes possuem uma ferramenta de descriptografia que é capaz de reverter os danos causados aos dados da vítima. É necessário que as vítimas entrem em contato com os agressores usando o email, e há dois endereços de email fornecidos - 'aireyeric@protonmail.com' e 'ellershaw.kiley@protonmail.com'.

É uma boa medida manter distância de criminosos cibernéticos obscuros como os criadores do Pysa Ransomware. Muitas vezes, mesmo os usuários que cedem e pagam a taxa de resgate exigida ficam de mãos vazias quando os atacantes nunca lhes enviam a chave de descriptografia prometida. É por isso que você deve baixar e instalar um pacote anti-spyware legítimo que limpará o Pysa Ransomware do seu sistema e garantirá que você não se encontre nessa situação complicada no futuro.