O Ranscam Ransomware Exclui Arquivos Permanentemente, e Ainda Exige uma Taxa de Resgate
Em um mundo perfeito, todos nós podíamos cultivar dinheiro em árvores e queimar durante o inverno como fonte de calor. Acontece que o dinheiro está sendo queimado pela maneira como os usuários de computador são vítimas do Ranscam Ransomware. O Ranscam foi descoberto pela equipe de pesquisadores de segurança do Cisco Talos para excluir arquivos permanentemente, mas ainda exige dinheiro do resgate sem a capacidade de restaurar os arquivos excluídos.
Durante a recente propagação em massa de ransomware, a maioria das ameaças seguiu uma regra não escrita de devolver aos usuários de computador seus arquivos depois de serem mantidos por uma taxa substancial de resgate. Esse processo tem sido bastante bem-sucedido na extorsão de dinheiro de usuários de computador vitimados. A técnica do Ranscam de excluir arquivos permanentemente, sem qualquer reprise, mas ainda exigindo o pagamento de uma taxa de resgate, é totalmente ridícula. No entanto, o Ranscam está de alguma forma divulgando suas funções mal programadas como uma maneira viável de extorquir dinheiro. Fazer isso não vai voar quando os usuários de computador vitimados descobrirem que só jogariam dinheiro fora se o resgate pago pelo Ranscam.
As ações da Ranscam estão sob forte escrutínio desde sua descoberta, no início desta semana, por pesquisadores da equipe Talos da Cisco. Pelo que parece, o Ranscam é propenso a começar a excluir imediatamente arquivos após a instalação. Por enquanto, não está claro se essa ação inicial de exclusão de arquivos faz parte da programação intencional do Ranscam ou, de fato, um bug resultante do mal escrito do malware.
Além de excluir os arquivos comuns que o Ranscam encontra diretamente na unidade C do computador infectado, o Ranscam localiza e exclui os principais arquivos executáveis do Windows, que podem ser responsáveis por várias chaves do Registro que podem estar associadas aos processos de inicialização do sistema do Modo de Segurança, executando o Gerenciador de Tarefas, e Restauração do sistema. Pela aparência dos arquivos de sistema excluídos pelo Ranscam, o malware não deseja permitir que um usuário restaure facilmente seu disco rígido ou inicialize no Modo de Segurança, na tentativa de erradicar a ameaça ou restaurar arquivos individuais.
Onde descobrimos que o Ranscam falhou em sua capacidade de justificar sua taxa exigida de resgate, está em sua notificação de resgate que é retransmitida. A mensagem Ranscam informa aos usuários que seus arquivos estão agora contidos em uma partição oculta do disco rígido. Embora, quando examinados, os arquivos não estejam em nenhuma outra partição, eles são de fato permanentemente excluídos do disco rígido, excluindo todas as cópias de volumes de sombra. Fundamentalmente, não há como recuperar os arquivos que o Ranscam exclui.
A taxa que a Ranscam pede para ser paga é de 0,2 Bitcoins, o que equivale a cerca de US $132 USD. Essa taxa é aquela que os usuários vitimados do computador estariam dispostos a pagar. No entanto, Ranscam muitos não vêem muitos pagamentos, uma vez que se constata que os arquivos não podem ser recuperados após o pagamento da taxa, conforme a nota de resgate exigir o contrário.
Até o momento, não vimos muitos casos de infecções por Ranscam, pelo menos nada próximo às enormes taxas de infecção de outros ransomwares recentes. Ainda acreditamos que possa haver algumas falhas na variação atual do Ranscam e seus autores podem corrigi-los em um futuro próximo para torná-lo uma ameaça viável que consiga manter vários arquivos por uma taxa de resgate que pode ser legitimamente restaurada mediante o pagamento do resgate. taxa. Por enquanto, o Ranscam é o derradeiro golpe de ransomware que tropeça em seu esforço para extorquir dinheiro de usuários de computador vítimas.