SUMMON Ransomware

O SUMMON Ransomware é um Trojan de bloqueio de arquivos que impede a abertura da mídia digital do usuário, tal como documentos. O SUMMON Ransomware é uma provável atualização do LANDSLIDE Ransomware, uma ameaça baseada na Rússia sem solução de descriptografia gratuita. Embora a maioria dos usuários possa remover o SUMMON Ransomware com produtos de segurança apropriados, eles também devem ter backups para proteger seus arquivos contra a criptografia de dados não consensual.

Conjurando Ataques dos Ossos de Antigos Trojans

Os Trojans de bloqueio de arquivos que agem independentemente do Ransomware-as-a-Services fornecem oportunidades de crime para os agentes da ameaça sem abrir mão de uma parte do resgate - uma vantagem não insignificante. Embora seja possível começar do zero, muitos agentes de ameaças preferem basear seu software em exemplos anteriores ou até mesmo atualizar ligeiramente um programa antigo. Esse parece ser o caso da nova campanha SUMMON Ransomware, um Trojan russo de bloqueio de arquivos.

Muitos aspectos da carga útil do SUMMON Ransomware são determinados por números, incluindo a criptografia que bloqueia os documentos, imagens e outros arquivos da vítima. O Trojan é compatível apenas com ambientes Windows e marca os arquivos que bloqueia acrescentando algumas das informações de resgate aos nomes e acrescentando a extensão 'SUMMON'. Este ataque impede que os arquivos mais valiosos sejam abertos e coloca os dados da vítima em uma situação de 'refém'.

O SUMMON Ransomware lucra com o descrito acima, gerando uma janela pop-up formatada em HTA com suas informações de resgate, que vende ao usuário a solução de desbloqueio personalizada do invasor. Os especialistas em malware acham que a mensagem do CHAME ransomware é uma cópia quase direta das instruções do LANDSLIDE Ransomware, com exceção dos endereços e marca. O fato da campanha do SUMMON Ransomware ainda fazer referência à moeda russa também sugere um público-alvo, mesmo se os usuários do Windows em qualquer lugar estiverem vulneráveis.

Mandando os Trojans de Volta para Onde Eles Vieram

As contramedidas para as infecções do SUMMON Ransomware não requerem etapas incomuns. Como outros Trojans de bloqueio de arquivos, o SUMMON Ransomware coloca em risco os arquivos com criptografia geralmente inquebrável e os especialistas em malware recomendam salvar backups em outros dispositivos para restauração. Os backups devem usar armazenamento desconectado ou segurança adicional, tal como senhas, para proteção ideal contra essas ameaças. Os pontos de restauração geralmente experimentarão a exclusão quase ao mesmo tempo em que a rotina de criptografia continua em segundo plano.

Embora a campanha do SUMMON Ransomware seja um pouco mais recente do que a do LANDSLIDE Ransomware, os analistas de malware não podem encontrar amostras relacionadas a explorações ou táticas de infecção. Os invasores podem invadir servidores mal protegidos por meio de vulnerabilidades públicas ou senhas de força bruta, ambas evitáveis com as devidas precauções de segurança. Os usuários também podem infectar seus dispositivos abrindo anexos de e-mail disfarçados ou baixando torrents ilícitos (particularmente as pertinentes à Web russa).

Quase todos os pacotes de segurança cibernética profissionais sinalizam e removem o SUMMON Ransomware antes que ele comece a atacar qualquer arquivo. Os usuários devem observar que a remoção do Trojan em sistemas já infectados não desbloqueia os arquivos.

Chegando ao cenário de ameaças cerca de um mês depois de seu ancestral, o SUMMON Ransomware é mais uma criptografia orientada para a Rússia para um grupo demográfico que, antes, não era um alvo promissor para hackers. Os tempos e as táticas podem mudar, mas os motivos, não; para Trojans como o SUMMON Ransomware, tudo ainda é sobre Bitcoins.