Ransomware Solara

Solara é uma variante de ransomware recentemente observada que, segundo pesquisadores, é baseada no código da família Chaos, de circulação pública. Ransomwares como o Solara criptografam arquivos de usuários, exigem pagamento e podem interromper permanentemente o acesso a dados importantes, portanto, proteger dispositivos e backups é essencial.

O QUE A SOLARA FAZ

Durante a análise, o Solara foi observado criptografando arquivos e anexando a string de texto ".solara" aos nomes dos arquivos (por exemplo, "1.png" → "1.png.solara"). O malware também envia uma nota de resgate chamada "read_it.txt", que alega que a vítima acionou uma proteção "anti-crack" e instrui as vítimas a obter uma ferramenta de descriptografia de um criminoso online. Diversos artigos e análises de amostra vinculam o Solara à família de ransomware Chaos e descrevem comportamento semelhante (criptografia, substituição de extensão e uma nota de resgate em texto simples).

NOTA DE RESGATE E REIVINDICAÇÕES DE PAGAMENTO

A mensagem de resgate examinada por analistas afirma que a recuperação de arquivos é "quase impossível" sem a ferramenta de descriptografia do invasor. A nota instrui as vítimas a entrarem em contato com um usuário do Discord (xenqxd) e sugere opções de pagamento como Paysafecard (na Polônia) ou uma pequena quantia em Bitcoin. Notavelmente, alguns exemplos omitem canais de contato significativos, o que pode indicar uma campanha imatura ou com características de pegadinha, ou operadores que simplesmente não esperam negociar. Trate todas essas exigências com extrema desconfiança.

É POSSÍVEL RECUPERAR ARQUIVOS SEM PAGAR?

Em geral, arquivos criptografados por ameaças da família Chaos não são recuperáveis sem a chave de descriptografia adequada. Se você tiver backups limpos e offline de antes da infecção, restaurá-los é a rota mais segura recomendada. O pagamento é desencorajado, pois os criminosos geralmente não entregam descriptografadores utilizáveis, e o pagamento de fundos incentiva ainda mais a atividade criminosa.

VETORES DE INFECÇÃO COMUNS

• Software pirateado, keygens e utilitários "crackeados" disfarçados com malware.
• Anexos e links de e-mail maliciosos (macros, scripts, EXEs do Office).
• Anúncios infectados, sites de download comprometidos ou não oficiais, redes P2P/torrent, unidades USB e downloaders de terceiros.

AÇÕES IMEDIATAS SE VOCÊ SUSPEITAR DE INFECÇÃO

Isole a máquina imediatamente : desconecte-a das redes (com fio/wifi) e desmonte todas as unidades compartilhadas/de rede para impedir a propagação lateral.

Preserve as evidências : não reinicie o computador se estiver coletando memória ou artefatos forenses. Em vez disso, capture imagens de memória e disco se tiver capacidade ou chame a resposta a incidentes.

Use backups : restaure a partir de backups confiáveis depois que o malware for removido e os sistemas forem reconstruídos; não restaure backups que possam ter sido conectados no momento da infecção.

Não pague a menos que uma equipe de resposta a incidentes tenha avaliado todas as opções e consequências; não há garantia de que o pagamento funcionará e pode incentivar ataques futuros.

MELHORES PRÁTICAS DE SEGURANÇA

Mantenha uma defesa atualizada e em camadas que inclua as seguintes práticas nas operações diárias:

Gerenciamento de patches : aplique atualizações de segurança do sistema operacional e dos aplicativos imediatamente; muitas cepas de ransomware exploram vulnerabilidades conhecidas e corrigidas.

Privilégios mínimos e higiene de conta : execute usuários com contas não administrativas, aplique autenticação multifator forte para acesso remoto e contas privilegiadas e monitore comportamentos incomuns de login.

Estratégia de backup : Crie backups regularmente e mantenha-os separados da rede. Afinal, os backups são o controle de recuperação mais eficaz contra ataques de criptografia.

Proteção de endpoint e EDR : implante soluções confiáveis de detecção e resposta de endpoint que possam detectar anomalias de execução, bloquear payloads maliciosos e permitir contenção rápida. Mantenha assinaturas e telemetria ativadas.

Educação do usuário e resistência a phishing : treine os usuários para evitar a execução de cracks/keygens, verificar remetentes e links de e-mail e tratar anexos inesperados com desconfiança. Simulações de phishing e campanhas de conscientização reduzem o fator de risco humano.

Controles de aplicativos e restrições de macro : desabilite macros do Office por padrão, bloqueie a execução de locais comuns de abuso (por exemplo, %AppData%, pastas temporárias) e use a lista de permissões de aplicativos quando possível.

NOTAS DE ENCERRAMENTO

Solara ilustra os riscos comuns associados a criadores de ransomware disponíveis publicamente: bifurcações e variantes proliferam, e os invasores adaptam continuamente os métodos de distribuição para atingir comunidades específicas (relatórios destacam fóruns de jogos e canais de software pirata como prováveis iscas). As melhores defesas são a prevenção, backups robustos, contenção rápida e o trabalho com equipes de resposta treinadas, sem o pagamento de resgates. Se você suspeitar de comprometimento e precisar de ajuda com a limpeza passo a passo, colete indicadores de amostra (nomes de arquivo, hashes, texto da nota de resgate) e consulte um provedor confiável de resposta a incidentes ou seu fornecedor de segurança para obter orientações sobre contenção e recuperação.