RAA Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 3 |
| Visto pela Primeira Vez: | June 15, 2016 |
| Visto pela Última Vez: | November 11, 2020 |
| SO (s) Afetados: | Windows |
Os pesquisadores de malware descobriram uma nova geração de Trojans de criptografia baseados inteiramente no JavaScript, e suspeitam que nós veremos mais famílias de cryptomalware utilizando o JavaScript no futuro. O desenvolvimento de Trojans baseados no JavaScript começou com o JS.Crypto (a.k.a. CryptoJS) Ransomware, continuou com o Ransom32 e o Enigma Ransomware. Os pesquisadores relataram que o RAA Ransomware representa um marco no desenvolvimento de cryptomalware baseado no JS. O RAA Ransomware é o primeiro Trojan de criptografia que é executado no JavaScript e não depende da infra-estrutura EXE para operar. O RAA Ransomware é um termo aplicado a uma família de Trojans que usam a biblioteca de código aberto CryptoJS para criptografar os dados da vítima, e ele pode instalar o Pony Botnet. O RAA Ransomware pode ser apresentado aos usuários como um documento corrompido do Microsoft Word que foi ofuscado.
O Arquivo DOC Malicioso Incorporado ao Run-Time Framework do RAA Ransomware
Simplificando, o RAA Ransomware é executado na memória no momento em que você abre o documento infectado. O RAA Ransomware usa o algoritmo de codificação AES-256 para bloquear os seguintes formatos de arquivo:
.PSB, .PSD, .ZIP, .RAR, .7ZIP, .JPEG, .JPG, .PNG, .GIF, .DOCX, .DOC, .PPT, .PPTX, .XLSX, .XLS, .CSV, .PDF, .PBM, .TIFF, .OTP, .ODF, .ODB, .RTF.
Os arquivos que se encaixam nos parâmetros de verificação do RAA Ransomware são codificados e possuem a extensão de arquivo .lockecd. Como você pode ver, o Trojan do RAA pode impedir que os usuários abram formatos de arquivo que são utilizados pelo Adobe Photoshop e contatem os gestores. O Trojan RAA de criptografia pode ser o resultado do trabalho de codificadores de língua russa, a julgar pela nota de resgate que está escrita em Russo e tem o seguinte texto:
'***ATENÇÃO !***
Os seus arquivos foram criptografados vírus RAA.
Para a criptografia foi usada o algoritmo AES-256 é usado para proteger informações de segredos de estado.
Isto significa que os dados só podem ser restaurados através da compra de uma chave.
Comprando a chave – uma ação simples.
Tudo que você precisa:
1. Envie o seu ID [ID aleatório] para o endereço postal
raa-consult1@keemail(.)me.
2. Teste descriptografar alguns arquivos para se certificar de que temos a chave.
3. Transferência 0.39 BTC ($ 250) para o endereço de Bitcoin
15ADP9ErZTNgU8gBoJWFCujGbJXCRDzgTv.
Para obter informações sobre como comprar Bitcoins com rublos com qualquer cartão –
//www.bestchange(.)ru/visa-mastercard-rur-to-bitcoin(.)html
4. Pegue a chave e o programa para descriptografar os arquivos.
5. Tome medidas para evitar situações semelhantes no futuro.
Importante (1).
Não tente pegar a chave, é inútil e pode destruir os seus dados permanentemente.
Importante(2).
Se o endereço especificado (raa-consult1@keemail(.)me)não enviar uma resposta dentro de 3 horas, você pode usar o serviço de comunicação Bitmessage (nosso endereço – BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Mais detalhes sobre o programa – //bitmessage(.)org/wiki/Main_Page
Importante (3).
NÓS NÃO PODEMOS manter todas as chaves por muito tempo, para aquelas que não tiver sido paga nenhuma taxa, serão removidas dentro de uma semana após a infecção.
Os arquivos README localizados na raiz de cada unidade.'
Os pesquisadores de Malware não Recomendam Pagar o Resgate e Aconselham os usuários a Usar Serviços Tais como o Google Disk e o Dropbox para Recuperar os Seus Dados
O RAA Ransomware é instruído a deixar uma nota na área de trabalho da vítima, e você pode encontrá-la no arquivo. !!!README!!!.rtf. Os representantes da família RAA de cryptomalware podem criptografar os dados em todas as unidades locais, mas não podem alterar as Cópias do Shadow Volume do Windows. Vítimas do RAA Ransomware podem ser direcionadas a escrever um e-mail para raa-consult1@keemail.me e receber instruções sobre como pagar o resgate de 0,39 Bitcoins ($260 no momento da pesquisa). Como dito acima, o RAA Ransomware pode instalar o Pony Botnet, e suas credenciais on-line podem ser coletadas também. É imperativo usar uma solução anti-malware respeitável para limpar o seu computador antes de iniciar o processo de recuperação.
