RansomAES Ransomware

O RansomAES Ransomware é um dos muitos Trojans ransomware de criptografia atualmente ativos que são baseados no HiddenTear, uma plataforma de ransomware de criptografia de código aberto que gerou inúmeras variantes. O RansomAES Ransomware parece ter sido criado por trapaceiros baseados na Coréia e tem como alvo os usuários de computador com um layout de teclado coreano (embora não haja nada que impeça o RansomAES Ransomware de ter como alvo outros usuários de computador). O RansomAES Ransomware é normalmente entregue às vítimas através do uso de e-mails de spam corrompidos, geralmente usando anexos de arquivos contendo macros incorporadas para instalar o RansomAES Ransomware no computador da vítima. Atualmente, o link de onde o RansomAES Ransomware é baixado parece ter sido desativado, o que significa que a campanha de distribuição do RansomAES Ransomware pode ter sido interrompida temporariamente.

Não há Nada de Novo no Ataque do RansomAES Ransomware

Há muito pouco para diferenciar o RansomAES Ransomware dos muitos outros Trojans ransomware de criptografia que estão em ação atualmente. O RansomAES Ransomware verifica o computador da vítima assim que é instalado, criando listas dos arquivos que ele criptografará durante o ataque. O RansomAES Ransomware tem como alvo os arquivos gerados pelo usuário, tais como áudio, vídeo, textos, bancos de dados e vários outros tipos de documentos. O RansomAES Ransomware usará a criptografia AES para tornar os arquivos da vítima inacessíveis, impossibilitando que a tecnologia atual recupere os arquivos afetados. O RansomAES Ransomware toma os arquivos da vítima como reféns até que a vítima pague um resgate. Os tipos de arquivos que ameaças como o RansomAES Ransomware têm como alvo em seus ataques incluem:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

O RansomAES Ransomware criptografa os arquivos e os marca com a extensão de arquivo '.RansomAE', que é adicionada ao final dos nomes dos arquivos. O RansomAES Ransomware entregará duas notas de resgate assim que os arquivos da vítima forem criptografados; um na forma de um arquivo de texto e o outro na forma de um aplicativo HTA. A primeira dessas notas de resgate está contida em um arquivo chamado 'READ ME.txt', que é deixado na área de trabalho do computador infectado. O conteúdo desse arquivo é o seguinte:

'개인 ID KEY:
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com'

Abaixo está o texto da nota de resgate acima, traduzida para o português do original coreano:

'Chave pessoal de identificação:
[128 CARACTERES ALEATÓRIOS]
Seus arquivos foram criptografados! Você receberá a extensão: .AES
Envie-nos um email e repararemos os arquivos.
fbgwls245@naver.com ou powerhacker03@hotmail.com'

A segunda nota de resgate aparece em uma janela pop-up e também instrui a vítima a se comunicar com os trapaceiros via e-mail.

Lidando com uma Infecção pelo RansomAES Ransomware

Se a infecção do RansomAES Ransomware comprometer o seu computador, você deverá remover os arquivos afetados e substituí-los por versões de backup intactas. Devido a isso, a melhor proteção contra o RansomAES Ransomware e ameaças semelhantes é ter backups dos arquivos, os quais devem ser mantidos em dispositivos externos. Um aplicativo de segurança totalmente atualizado deve ser usado para executar uma digitalização completa do computador afetado e impedir que o RansomAES Ransomware seja instalado.