Reha Ransomware

O Reha Ransomware está entre os Trojans mais recentemente descobertos com criptografia de arquivos. Uma vez identificada e dissecada, essa ameaça revelou que é uma variante do infame STOP Ransomware. Em 2019, a família STOP Ransomware fez inúmeras vítimas, pois emergiu como a família de ransomware mais ativa durante todo o ano. O Reha Ransomware comprometia o PC de um usuário, bloqueava todos os arquivos e apresentava uma nota de resgate pedindo dinheiro em troca de uma chave de descriptografia.

Propagação e Criptografia

Os pesquisadores de malware ainda não identificaram com certeza qual é o vetor de infecção responsável pela disseminação do Reha Ransomware. Alguns especulam que os autores do Reha Ransomware possam estar utilizando emails de spam contendo anexos com macros. Também é provável que os invasores estejam usando campanhas de publicidade maliciosa, cópias piratas de aplicativos populares, atualizações falsas de software e outros truques para propagar o Reha Ransomware. O Reha Ransomware foi projetado para atingir uma ampla variedade de tipos de arquivos, pois isso aumentaria as chances de a vítima pagar a taxa de resgate exigida. Depois que ele se infiltra em um sistema, o Reha Ransomware começa a bloquear os dados do usuário com a ajuda de um algoritmo de criptografia. Após o processo de criptografia, a vítima notará que todos os nomes de seus arquivos foram alterados. Isso ocorre porque o Reha Ransomware aplica uma extensão adicional a todos os nomes de arquivos afetados - '.reha'. Por exemplo, um arquivo originalmente chamado 'Frosty-Morning.jpeg' será renomeado para 'Frosty-Morning.jpeg.reha' e não será mais executável.

A Nota de Resgate

Após concluir o processo de criptografia, o Reha Ransomware continuará com o ataque, soltando uma nota de resgate na área de trabalho do usuário. O arquivo que contém a mensagem dos invasores é denominado '_readme.txt.' Na nota, os autores do Reha Ransomware descrevem vários pontos principais:

• Os usuários que entrarem em contato com os atacantes dentro de 72 horas após o ataque teriam que pagar US $490.
• Os usuários que não entrarem em contato com os atacantes dentro de 72 horas após o ataque teriam que pagar US $980.
• Os usuários precisam entrar em contato com os atacantes por e-mail - 'helpmanager@firemail.cc' e 'helpmanager@iran.ir'.

Você não deve cooperar com os cibercriminosos que criaram o Reha Ransomware. Esses atores obscuros tendem a fazer promessas que raramente cumprem, o que significa que mesmo os usuários que pagam provavelmente não receberão a ferramenta de descriptografia de que precisam. Em vez disso, considere baixar e instalar um aplicativo anti-spyware genuíno que o livrará do Reha Ransomware para sempre.