Ransomweb Ransomware
O Ransomweb Ransomware é um Trojan de bloqueio de arquivos, cuja campanha tem como alvo sites públicos e bloqueia seu conteúdo. Ao contrário da maioria dos Trojans desse tipo, essa ameaça não usa criptografia verdadeira e seu ataque pode ser reversível para usuários que carregam um script PHP apropriado. No entanto, todos os usuários ainda devem fazer backup de seu trabalho de recuperação desses ataques e permitir que serviços de segurança cibernética dedicados removam o Ransomweb Ransomware assim que o detectarem.
The Ransomweb Ransomware: Ironicamente, Perdendo um Resgate
Os Trojans de bloqueio de arquivos confiáveis podem fazer com que as vítimas os identifiquem incorretamente, pagando resgates inúteis e outros problemas. No caso do Ransomweb Ransomware, durante uma recente onda de desfiguração e bloqueio de sites públicos, as vítimas podem presumir que seus dados estão mais danificados do que realmente estão. Os usuários que mantêm a cabeça fria podem recuperar seu trabalho, mesmo sem um backup - o que está muito longe da norma nesses casos.
O atacante do Ransomweb Ransomware está visando sites insuficientemente protegidos, possivelmente por meio de vulnerabilidades passivas ou senhas fracas. O Trojan desempenha o papel de trava de arquivos, bloqueando os arquivos do site em uma rotina que é semelhante, mas diferente da criptografia de forma crítica. Todos os ataques também acrescentam extensões 'explorador' aos arquivos e deixam uma mensagem de provocação voltada ao público com a arte ASCII do brasão de armas da Indonésia. Não há pedido de resgate ou forma de entrar em contato com o atacante, o que diferencia o Ransomweb Ransomware de quase todos os outros Trojans de bloqueio de arquivos, como o Dharma Ransomware.
No entanto, os pesquisadores de malware verificam que o Ransomweb Ransomware não está usando criptografia verdadeira. Ele usa uma função de compressão de texto, gzdeflate, que tem uma função de inflação 'reversa' correspondente: gzinflate. Qualquer vítima que execute o script de inflação apropriado pode restaurar diretamente os arquivos de seu site, o que é quase impossível em ataques de bloqueio de arquivos mais tradicionais.
Restauração de Dados sem Complicações
Algumas infecções do Ransomweb Ransomware incluem um componente de desbloqueio protegido por senha, um arquivo PHP. Os usuários com possibilidade de alterar a senha podem acessá-la e utilizá-la como forma de restaurar seus arquivos. Caso contrário, eles também podem executar o script em seus navegadores.
Ainda assim, os usuários devem sempre ter backups de seu trabalho. A maioria dos Trojans de bloqueio de arquivos usa mecanismos de bloqueio seguros e excluem backups locais. Um dispositivo USB sobressalente ou uma cópia de serviço em nuvem do site de alguém é uma maneira mais segura de se recuperar de um vandalismo ou extorsão de um Trojan.
Os especialistas em malware também recomendam que os administradores de sites mantenham um controle de versão rigoroso do software e da infraestrutura de seus sites. Plataformas de blog desatualizadas são um exemplo poderoso de como os invasores podem atingir usuários que não fizeram nada de errado. Além disso, a segurança da senha é crucial para todos os usuários com acesso à Internet.
Independentemente dos métodos de recuperação adotados, os usuários devem conter primeiro as ameaças à segurança. A maioria dos conjuntos de anti-malware ou antivírus deve remover o Ransomweb Ransomware dos sistemas comprometidos.
O Ransomweb Ransomware é uma oportunidade preciosamente rara: um Trojan que deixa uma porta aberta para voltar no tempo. Como a maioria dos invasores é mais zelosa com a segurança de seus Trojans, os administradores de sites não devem esperar muitos exemplos como o Ransomweb Ransomware no centro das atenções.
