Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security O Vcrypt Ransomware Atualizado Bloqueia Arquivos em 7zips...

O Vcrypt Ransomware Atualizado Bloqueia Arquivos em 7zips Protegidos por Senha

Por Nizel em Computer Security
Traduzir Para:
Português

vcrypt ransomware Uma ameaça de ransomware com o nome de Vcrypt está atacando usuários franceses de forma agressiva. O Vcrypt utiliza o 7zip, um programa legítimo para criar arquivos protegidos por senha nas pastas de dados afetadas.

O ransomware estava excluindo todos os arquivos da vítima encontrados nas pastas de dados do Windows e, em seguida, recriava novos arquivos supostamente criptografados que usam o nome da pasta original. Os arquivos criptografados têm nomes semelhantes a nome_do_usuário_pasta.vxcrypt.

Exemplos disso foram vistos com arquivos na pasta Documentos sendo excluídos, com um novo arquivo chamado User_documents.vcrypt sendo criado. O ransomware inicia o Internet Explorer e mostra uma nota de resgate chamada help.html. O idioma usado na nota é o francês, explicando como os usuários podem visitar um site para recuperar os seus arquivos.

O texto da nota do Vcrypt Ransomware se traduz no seguinte:

P: O que aconteceu com meus arquivos?
R: Todos os seus arquivos foram criptografados e colocados em uma zona de segurança.
Q: Como recuperar meus documentos !!?
R: Siga as instruções disponíveis nesta página da web. Se a página não abrir, verifique sua conexão com a Internet.


A Nota de Resgate do VCrypt; Fonte: Sophos

O site foi colocado offline, portanto, a quanta a set paga como resgate é atualmente desconhecida.

O Vcrypt Cria Arquivos 7zip Protegidos por Senhas

Os pesquisadores descobriram que o VCrypt não criptografa nenhum arquivo. Quando é executado, o malware configura uma inicialização automática e extrai o 7za.exe para %Temp% com o nome mod_01.exe.

Após a conclusão dessa etapa, o ransomware executa comandos que arquivam os arquivos afetados nessas pastas, criando arquivos protegidos por senha:

%PUBLIC%\Desktop
%PUBLIC%\Downloads
%PUBLIC%\Pictures
%USERPROFILE%\Desktop
%USERPROFILE%\Downloads
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Documents
%PUBLIC%\Music
%PUBLIC%\Videos
%PUBLIC%\Documents

Cada arquivo criado pelo VCrypt usa a mesma senha, codificada pelos seus criadores. Ele arquiva os arquivos e exclui todos os dados da pasta após a conclusão. Em alguns casos, com outras unidades, o ransomware não arquiva os arquivos antes da exclusão, mas atuava como um limpador.

O malware embaralha os arquivos em C: e apaga os arquivos em qualquer outra unidade, indo de A a Z e pulando a unidade C: destruindo os arquivos e diretórios encontrados.

Os invasores usavam uma página de hospedagem gratuita regular para hospedar o seu endereço para o pagamento do resgate, sem conexões Tor ou Dark Web, para que os usuários não tivessem como pagar o resgate. A boa notícia é que os criadores do VCrypt usaram uma chave criptográfica codificada que pode ser extraída do arquivo do malware.

Ainda não se sabe como o ransomware é distribuído.

Carregando...