TurkStatik Ransomware

Uma nova ameaça de ransomware apareceu recentemente na natureza. Seu nome é TurkStatik Ransomware. Essa ameaça não parece pertencer a nenhuma das famílias populares de ransomware cujas novas cópias vemos o tempo todo. O que é diferente sobre essa ameaça de ransomware é que ela parece ter como alvo principalmente os usuários turcos. Os pesquisadores de malware chegaram a essa conclusão depois de estudar essa ameaça e perceber que a mensagem de resgate é escrita em turco fluente, sem erros gramaticais ou de ortografia. Isso os levou a acreditar que o TurkStatik Ransomware não é apenas adaptado para os cidadãos turcos, mas também parece que foi construído por nativos turcos.

Propagação e Criptografia

O TurkStatik Ransomware provavelmente está sendo propagado por e-mails de phishing que tentam induzir o usuário a abrir o arquivo anexado corrompido que contém o código do TurkStatik Ransomware. Quando o TurkStatik Ransomware compromete um sistema, ele procura todos os tipos de arquivos populares e aplica seu algoritmo de criptografia para bloqueá-los. Essa ameaça do ransomware buscará imagens, arquivos de áudio, vídeos, planilhas, arquivos, bancos de dados, apresentações, documentos etc. Isso garante que o TurkStatik Ransomware cause o máximo de danos possível ao host. Quando o processo de criptografia terminar, o usuário notará que os nomes dos arquivos bloqueados foram alterados. O TurkStatik Ransomware aplica uma extensão '.ciphered' no final dos nomes dos arquivos afetados. Por exemplo, um arquivo chamado 'rose-ash.jpeg' antes do ataque será renomeado 'rose-ash.jpeg.ciphered' após a conclusão da operação.

A Nota de Resgate

A mensagem de resgate do TurkStatik Ransomware é armazenada em um arquivo chamado 'README_DONT_DELETE.txt' que será descartado na área de trabalho do usuário. Os autores do TurkStatik Ransomware deixam claro que a taxa de resgate será exigida na forma de Bitcoin, mas não mencionam a quantia específica. É provável que eles revelem a taxa de resgate assim que a vítima os contatar. Os atacantes fornecem dois endereços de e-mail nos quais a vítima pode entrar em contato com eles e receber mais instruções - 'decservice@mail.ru' e 'recoverydbservice@protonmail.com'.

No entanto, a boa notícia para os usuários que foram vítimas dessa ameaça desagradável é que os especialistas em segurança cibernética quebraram essa ameaça de ransomware e lançaram uma chave de descriptografia disponível ao público que pode ser alcançada com uma simples pesquisa no Google. Infelizmente, isso não significa que o TurkStatik Ransomware tenha sido completamente neutralizado. Os autores deste Trojan de bloqueio de arquivos podem atualizar a ameaça e alterar sua rotina de criptografia. Por enquanto, os usuários infectados com o TurkStatik Ransomware têm uma saída e não precisam cooperar com os cibercriminosos. No entanto, mesmo que não houvesse ferramentas gratuitas de descriptografia disponíveis, recomendamos que você nunca entre em contato com cibercriminosos como os que estão por trás do TurkStatik Ransomware, pois nada de bom pode resultar disso.