TrumpHead Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 100 % (Alto) |
| Computadores infectados: | 4 |
| Visto pela Primeira Vez: | January 21, 2019 |
| Visto pela Última Vez: | August 28, 2020 |
| SO (s) Afetados: | Windows |
O TrumpHead Ransomware é uma variante genérica do ransomware de código aberto HiddenTear que foi lançado em 14 de janeiro de 2019. O TrumpHead Ransomware é nomeado após o processo - 'TrumpHead.exe' - que é criado nos computadores infectados. Observa-se que o TrumpHead Ransomware é executado nas versões mais recentes do Windows e exclui os snapshots do Shadow Volume criados pelo SO para impedir a recuperação de dados sem o uso de instrumentos de terceiros. O TrumpHead Ransomware é distribuído como um arquivo PDF falso que possui uma extensão dupla e é carregado como um programa no segundo plano do sistema. Clicar duas vezes na carga útil não traz nenhuma indicação visual, exceto para um processo com um nome aleatório no Gerenciador de Tarefas do Windows. O teste de laboratório mostrou que o TrumpHead Ransomware muda o plano de fundo da área de trabalho das máquinas comprometidas para uma tela preta com um texto em branco na parte superior, que diz:
'Sinto muito, seu computador tem sido
comprometido por nós. Todos os seus arquivos são
criptografado agora!
Procure o arquivo READ_THIS.html em
seu computador (está em todo lugar) e
leia todas as instruções para decifrar
seus arquivos novamente.
Certifique-se de não RENOMEAR ou EXCLUIR'
Além disso, o TrumpHead Ransomware descarta um arquivo chamado 'READ_THIS.txt' em todas as pastas com dados processados. O TrumpHead Ransomware pode anexar caracteres aleatórios e endereços de e-mail aos dados processados. Muitas ameaças cibernéticas da mesma classe usam sequências exclusivas de um código hexadecimal, nomes de arquivos criptografados com a base64, endereços de e-mail e caracteres aleatórios. Esses marcadores de arquivos às vezes ajudam os pesquisadores de segurança a monitorar as famílias de ameaças de criptografia, e o TrumpHead Ransomware parece não ter conexões com ameaças que já registramos. Como dito acima, a mensagem de resgate (READ_THIS.txt) pode ser encontrada em muitas pastas, e diz:
'Ei aí
Lamentamos dizer que criptografamos TODOS os seus dados e não há outra maneira de obtê-lo sem nos pagar:
0,8 em BITCOINS para este endereço: [caracteres aleatórios]
Pague antes que seja tarde demais!
Você tem horas de IS a pagar. Se você tiver alguma dúvida, basta entrar em contato conosco neste endereço de e-mail: wegotyoudata@protonmail.com
Para acelerar o processo: Basta nos enviar o seguinte id de computador [caracteres aleatórios] envie-nos seu btc
pagamento, ID de transação a. nós lhe enviaremos todas as instruções de como recuperar seus dados.
Somos pessoas sérias e sempre entregamos após o pagamento. Certifique-se de não renomear
ou exclua seus arquivos, desligue o passageiro ou entre em contato com a lei, caso contrário, ele se foi para sempre!
Nós somos os melhores. Ninguém nunca viu um grupo de hackers como nós somos'.
Os agentes de ameaça que operam o TrumpHead Ransomware oferecem um serviço de descriptografia em troca de 0,8 Bitcoin (,82,877 USD/2,523 EUR). Além disso, os usuários afetados podem encontrar o endereço de e-mail 'wegotyoudata@protonmail.com' exibido nas suas telas, serem convidados a usar o navegador TOR e visitar um portal de pagamento. Recomenda-se remover o TrumpHead Ransomware com a ajuda de um instrumento anti-malware respeitado. Você deve ser capaz de usar backups dos dados e recuperar a maioria dos seus arquivos e configurações de programa. Os mecanismos AV são conhecidos por sinalizar os recursos utilizados pelo TrumpHead Ransomware usando os seguintes nomes:
Artemis!49FDB7E267C0
Gen:Heur.Ransom.Imps.3
Ransom_RAMSIL.SM
TR/Hesv.guhch
Trojan.Win32.Imps.4!c
Trojan.Win32.Z.Ransom.2722304
W32/Hesv.SM!tr
Win32/Trojan.IM.57e
malicious.267c00
malicious_confidence_90% (W)
