The Magic Ransomware

O The Magic Ransomware é um Trojan ransomware de criptografia que foi observado pelos pesquisadores de segurança do PC em 17 de outubro de 2017. O The Magic Ransomware é entregue às vítimas através do uso de arquivos PDF ou DOCX corrompidos com scripts operacionais de macro que baixam e instalam o The Magic Ransomware quando o arquivo for aberto. Esses arquivos são anexados a mensagens de spam que usam técnicas de engenharia social para enganar os usuários de computador inexperientes para abrir o anexo do arquivo.

A Mágica que não Vai Encantar os Usuários de Computador

O The Magic Ransomware é baseado no HiddenTear, uma plataforma de ransomware de fonte aberta que foi responsável por inúmeros outros Trojans ransomware de criptografia desde que foi lançado pela primeira vez em agosto de 2015. O ataque do The Magic Ransomware foi projetado, principalmente, para atacar os usuários de computador da Itália e inclui uma nota de resgate escrita em italiano (embora não haja nada impedindo que o The Magic Ransomware seja distribuído fora dessa região). O The Magic Ransomware usa uma combinação das criptografias AES e RSA para tornar os arquivos da vítima completamente inacessíveis. O Magic Ransomware visa os arquivos gerados pelo usuário, evitando os arquivos do sistema do Windows ou outros arquivos que impeçam o funcionamento do computador da vítima. O objetivo do The Magic Ransomware é tomar os arquivos da vítima como reféns, mas permitir que o sistema permaneça funcional para que uma nota de resgate possa ser exibida. O Magic Ransomware irá ter como alvo uma grande variedade de tipos de arquivos em seu ataque, inclusive os arquivos com as seguintes extensões:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

Os arquivos criptografados pelo ataque do The Magic Ransomware são fáceis de se identificar, porque o The Magic Ransomware adicionará a extensão de arquivo '.locked' ao nome do arquivo.

O The Magic Ransomware e Suas Exigências de Resgate

Depois de criptografar os arquivos da vítima, o The Magic Ransomware entrega uma nota de resgate na forma de um arquivo de texto que usa o nome 'READ_IT.txt,' que é deixado na área de trabalho do computador infectado depois que ele terminar de criptografar os arquivos da vítima. O texto dessa nota de resgate está em italiano. A nota de resgate do Magic Ransomware, traduzida para o português, diz o seguinte:

'Este computador foi invadido
Os seus dados pessoais foram criptografados. Eles são irreparáveis
até que você pague o resgate ... É inútil tentar decifrar ... Só eu posso fazer isso agora, siga
Estas etapas para recuperar os seus arquivos:
1 Vá para h[tt]ps://localbitcoins.com/
2 Procure por um vendedor de bitcoin
3 pague no endereço [RANDOM CHARCTERS]
O valor de 100 euros se você não sabe o que é um bitcoin:
h[tt]ps://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano ou veja este xxxxs:www[.]youtube[.]com/watch?v= g72aeVoOGLg
Assim que você efetuar o pagamento, você receberá a chave para descriptografar os dados e recuperar os dados ...
todos os dados serão destruídos para sempre dentro de 48 horas
Boa sorte :)'

Além de exibir essa nota de resgate, o The Magic Ransomware mudará a área de trabalho do computador infectado para uma imagem preta com o texto 'VOCÊ FOI INVADIDO!' em letras verdes brilhantes. O Magic Ransomware será executado como 'fattura.exe' no computador infectado, o que pode ser uma tentativa de disfarçar a natureza do seu ataque. Não é uma boa decisão pagar o resgate exigido pelo The Magic Ransomware ou seguir as instruções da nota de resgate do The Magic Ransomware. Em vez disso, os usuários de computador devem tomar precauções efetivas contra essas ameaças.