URSA Ransomware

O URSA Ransomware é um Trojan de bloqueio de arquivos que bloqueia a mídia do usuário, como fotos ou documentos, e os leva como reféns para um resgate. Suas notas de resgate têm fortes semelhanças com as do CryptoWall Ransomware, do qual pode ser uma atualização. De preferência, os usuários do Windows têm backups para recuperar seu trabalho e soluções anti-malware para remover o URSA Ransomware de forma abrangente.

Um Urso Rasgando Arquivos

Com um nome latino digno, mas um tanto indigno, ataques mercenários, outro Trojan de bloqueio de arquivo com fortes semelhanças com os antigos aparece em janeiro. A ursina que faz referência ao URSA Ransomware tem como alvo os usuários do Windows e emprega muitas das características bem pensadas e semiautomáticas do serviço de extorsão de dados. Coincidentemente ou não, o programa também inclui componentes que chamam de volta à família CryptoWall Ransomware.

Embora a reputação da família CryptoWall Ransomware inclua vetores de infecção, como táticas de e-mail e kits de exploração de sites hackeados, as técnicas de distribuição do URSA Ransomware ainda não são conhecidas pelos pesquisadores de malware. A carga útil do Trojan é, no entanto, e se concentra em um ataque típico de criptografia de dados que 'bloqueia' a maioria dos arquivos de mídia de valor para os usuários. Ao contrário da maioria dos Trojans de bloqueio de arquivos, o URSA Ransomware não marca os arquivos que não abrem com extensões ou outros identificadores baseados em nome.

Embora o URSA Ransomware tenha pouca semelhança com as versões mais antigas da família do CryptoWall Ransomware, ele elimina notas de resgate em TXT e HTML semelhantes aos modelos atuais. Ele usa instruções em inglês para direcionar os usuários a seu site TOR e informá-los sobre o pagamento do resgate pelo serviço de desbloqueio de arquivos (também conhecido como descriptografador). Os analistas de malware não detectam nenhuma atividade relacionada ao resgate em sua carteira e observam que a taxa atual é pequena e mais apropriada para vítimas domiciliares.

O Melhor Repelente para um Predador Cheio de Dentes

O URSA Ransomware finge que é parte do sistema operacional Windows, 'WinInit,' (um iniciador de aplicativo em segundo plano) enquanto está em sistemas infectados. Embora seja improvável que esteja relacionado a qualquer tática de instalação, esse disfarce é suficiente para proteger o Trojan enquanto executa sua rotina de criptografia. Depois disso, as vítimas têm caminhos de recuperação limitados, embora qualquer usuário do Windows com backups em outros dispositivos, naturalmente, possa restaurar seus dados sem esforço.

Por enquanto, os especialistas em malware recomendam proteção contra todos os vetores de infecção tradicionais, mas especialmente aqueles anteriormente associados à família do CryptoWall Ransomware. As táticas de e-mail podem disfarçar anexos ou downloads vinculados como documentos de trabalho, artigos de notícias ou faturas e abusar de recursos como macros incorporadas ou 'conteúdo avançado'. Os usuários também podem encontrar os instaladores do URSA Ransomware em sites que usam vulnerabilidades passivas e JavaScript ou Flash contra os visitantes. Estabelecer configurações e comportamento de navegação na Web seguros é crucial.

Obviamente, a maioria dos produtos de segurança desconsidera as informações de copyright falsificadas e o nome do EXE do URSA Ransomware. Os usuários com esta proteção podem excluir o URSA Ransomware automaticamente e prevenir o ataque atacado.

O URSA Ransomware não seria o primeiro Trojan a receber a nota de resgate de outro, mas tem chances iguais de ser um sucessor adequado do CryptoWall Ransomware. A questão nem sempre é relevante para usuários sem backups, que experimentam arquivos bloqueados, de qualquer forma.