THT Ransomware

O THT Ransomware é um Trojan ransomware de criptografia que tem sido usado em campanhas de ransomware de médio e grande porte. O THT Ransomware parece ter sido produzido por falantes do romeno, a julgar pelo seu código fonte. Os ataques do THT Ransomware foram relatados na última semana de junho de 2018. O THT Ransomware, assim como os muitos Trojans ransomware que atacam sistematicamente os usuários de computador, tomam os arquivos da vítima como reféns, criptografando-os com um forte algoritmo de criptografia. Os ataques do THT Ransomware parecem ter sido realizados tirando proveito do acesso às áreas de trabalho remotas mal protegidas e têm como alvo grandes servidores. Felizmente, o THT Ransomware tem causado danos mínimos, uma vez que as vítimas tinham imagens de backup dos computadores visados o que não deixa nenhuma dúvida sobre a eficácia de ter backups dos arquivos e imagens de backup como a forma principal de proteger os dados contra ataques como o do THT Ransomware).

Como o THT Ransomware Ataca uma Máquina

Há muito pouco para diferenciar o THT Ransomware das inúmeras ameaças de ransomware de criptografia que estão sendo usadas para extorquir os usuários de computador atualmente. O ataque do THT Ransomware não difere do modus operandi de outras ameaças; ele usará a criptografia AES 256 para tornar os arquivos das vítimas inacessíveis. O THT Ransomware tem como alvo os arquivos gerados pelo usuário, que podem incluir arquivos com as seguintes extensões:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx , .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm,. dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg , .pg, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt,. pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls , .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

O Pedido de Resgate do THT Ransomware

O THT Ransomware entregará uma nota de resgate na forma de um arquivo TXT inserido na área de trabalho do computador infectado. A mensagem na nota de resgate do THT Ransomware diz:

'Olá. Desculpe, o disco rígido do servidor da sua empresa foi criptografado por nós.
Usamos o algoritmo de criptografia mais complexo (AES256). Só nós podemos decifrar.
Por favor, entre em contato conosco: TimisoaraHackerTeam@protonmail.com (Por favor, verifique spam, evite correspondência perdida)
Código de identificação: [caracteres aleatórios] (indique o código de identificação)
Resgate: Por favor, pague 10 bitcoins. Após o pagamento ser bem sucedido, nós informaremos a senha.
(Se o contato for rápido, nós lhe daremos um desconto.)
Para que você acredite em nós, preparamos o servidor de teste. Por favor, entre em contato conosco e nós informaremos ao servidor de teste e descriptografaremos a senha.
Como comprar e pagar pelo Bitcoin:
hxxp://www.localbitcoins[.]com
Ou você pode pesquisar no Google "Como comprar Bitcoin"
Se você conhece melhor outros sites comerciais.
Somos uma equipe profissional de hackers, não um vírus. Nós só tomamos ataques direcionais. Nós sabemos tudo sobre a sua empresa. Se você se recusar a pagar, divulgaremos documentos importantes que temos (arquivo, email, contratos e muito mais).
Somos uma organização respeitável e definitivamente não somos mentirosos. Nosso negócio abrange mais de 20 países ao redor do mundo. Existem centenas de empresas que desbloquearam com sucesso.'

É claro que os criminosos responsáveis ​​pelo THT Ransomware têm grandes alvos em mente, considerando o grande resgate em Bitcoins exigido, equivalente a aproximadamente US 60.000. Os usuários de computador não devem se comunicar com os criminosos ou negociar a chave de decodificação. Em vez disso, os usuários de computador e as empresas visadas pelo THT Ransomware devem ter backups dos arquivos ou imagens de servidor de backup para permitir a restauração de quaisquer dados comprometidos pelo THT Ransomware, sem precisar entrar em contato com os criminosos, que provavelmente não o ajudarão mesmo que o resgate for pago.