VIAGRA Ransomware

Os ataques de ransomware estão aumentando e os pesquisadores de malware detectam cada vez mais Trojans de bloqueio de dados. Parece que todos no mundo do crime cibernético querem um pedaço do bolo - os indivíduos mais experientes em tecnologia constroem seus próprios Trojans de criptografia de arquivos, enquanto os menos capazes simplesmente emprestam o código das ameaças de ransomware já existentes. Uma das adições mais recentes é o VIAGRA Ransomware.

Na maioria das vezes, o VIAGRA Ransomware atua como uma ameaça típica de ransomware. Ele se infiltra no sistema de computador da vítima, criptografa os arquivos pessoais ou comerciais do usuário e exige um resgate para sua restauração. Nesse caso, o valor a ser pago é definido como 0,4 Bitcoins, o que de acordo com os criminosos por trás do VIAGRA Ransomware é igual a cerca de US $400. Embora isso possa ter sido verdade em um ponto, atualmente o preço de um único Bitcoin é de pouco mais de US $8000. Se você fizer as contas, isso significa que as vítimas desse malware terão que pagar mais de US $ 3000 pela descriptografia de seus dados.

Os Sintomas de um Ataque do VIAGRA Ransomware

As principais variantes do VIAGRA Ransomware foram observadas pela comunidade de segurança cibernética. A diferença mais significativa entre eles é a extensão que eles anexam ao final do nome de cada arquivo criptografado. A variante mais comum usa uma sequência de caracteres aleatórios que termina com "== ObcK", enquanto a outra variante coloca "== E3m7" no final da sequência aleatória.

Independentemente da extensão específica, a criptografia do VIAGRA Ransomware, que emprega uma combinação dos algoritmos de criptografia AES-256 e RSA-4096, garante que os arquivos não possam ser descriptografados por mais ninguém além dos criadores do malware. O serviço de backup padrão do Windows também não ajudará, porque as cópias do Shadow Volume dos arquivos afetados são excluídas pelo ransomware através do comando "vssadmin.exe delete shadows/ll/Quiet".

O VIAGRA Ransomware foi projetado para direcionar arquivos localizados em pastas específicas, como "Documentos e configurações" e "Usuários", além de cerca de 200 tipos diferentes de arquivos. Alguns dos tipos de arquivos criptografados pelo VIAGRA Ransomware são:

. $$$, .3dm, .3g2, .3ds, .3gp, .602, .apk, .asm, .arj, .au3, .avi, .band, .bik, .bat, .bin, .bit, .bmp, .bkp, .cad, .ccp4, .cdf, .cdr, .cer, .cfg, .cfm, .cgi, .class, .com, .conf, .cpp, .cps, .css, .csv , .dbg, .deb, .djvu, .doc, .dotm, .docm, .docx, .dot, .elf, .eml, .eossa, .erf, .eps, .fds, .flac, .gbc,. gadget, .gba, .gif, .gml, .gsm, .hpp, .html, .htm, .ico, .ihtml, .ini, .jar, .java, .jpg, .jsp, .jtd, .jpeg, .jtt, .key, .lip, .lua, .m4a, .mcpack, .maf, .mctemplate, .mkv, .mmp, .mp3, .mmpz, .mov, .mp2, .mpa, .mpp, .myd , .navpath, .ncf, .nfo, .nokogiri, .nrg, .nsh, .nth, .nvram, .oa2, .oa3, .obj, .obt, .obx, .obz, .ocr, .oda,. odb, .odf, .odg, .odif, .odl, .odo, .ogg, .opus, .osd, .osf, .osr, .osu, .p01, .p10, .p12, .p7b, .p7c, .pak, .pcd, .pdb, .pdc, .pdf, .peb, .pef, .pfx, .php, .pk3, .pkg, .ply, .png, .ppt, .pptm, .pptx, .prc .ppx, .proofingtool, .prz, .ps1, .ps1xml, .pub, .pubx, .pyc, .pys, .qbm, .qbx, .r00, .rar, .rdb, .reg, .rss,. rtf, .rwlibrary, .sam, .sas7bdat, .sav, .sheet, .shtml, .sis, .skb, .sln, .smh, .spb, .spc, .sql, .sqlite, .sqlite1, .swift, .ssh, .ssx, .stone, .struct, .suf, .svg , .szs, .tar, .tar.gz, .tdr, .tex, .tga, .tgz, .thm, .tif, .tiff, .tml, .tor, .torrent, .txt, .url, .vbs , .vgm, .vid, .vob, .wad, .war, .wdb, .web, .webmoney, .wks, .wmv, .wpl, .wps, .wsf, .11, .xhtml, .xlsx. xla, .xls, .xlsm, .xml, .xpl, .xsl, .zip

Após concluir o processo de criptografia, o VIAGRA Ransomware cria uma imagem ".bmp", que define como um novo plano de fundo da área de trabalho. Ele contém o seguinte texto:

Seus arquivos estão criptografados.
Seus arquivos foram criptografados com uma combinação AES-256 \ RSA-4096. A combinação é criptograficamente segura e não pode ser quebrada. Não há falhas no método de criptografia, e o conteúdo original do arquivo foi apagado para sempre.
Para recuperar seus arquivos e retornar ao normal, procure os arquivos com viagra nos nomes de arquivos e, procure o conteúdo, haverá instruções.
Faça o mais rápido possível, o tempo não vai parar.
O VIAGRA Ransomware vai ainda mais longe - ele desconecta os usuários de todas as contas do sistema. No próximo logon, as vítimas são recebidas por uma mensagem do malware:

[NOME DO USUÁRIO], seus arquivos são criptografados. Procure README-VIAGRA- [RANDOM STRING] .HTML em todas as pastas, para obter instruções sobre como recuperar seus arquivos.

A Nota de Resgate

Em outro desvio para o que é considerado a norma para o desenvolvimento de ransomware, o VIAGRA Ransomware não cria um arquivo ".txt" para a sua nota de resgate e cria um arquivo ".HTML" contendo as instruções para a vítima em todas as pastas com arquivos criptografados. O nome do arquivo HTML pode ser uma variação de README-VIAGRA-[RANDOM STRING].HTML ou Help Viagra Ransomware.html. O texto completo da nota é:

VOCÊ FOI VÍTIMA DO VIAGRA RANSOMWARE!
O que aconteceu com meus arquivos?
Seus arquivos foram criptografados com o AES-256 e o RSA-4096. Essa combinação é criptograficamente segura e não pode ser quebrada. Não há falhas no método de criptografia. Ferramentas como Recuva ou Cópias de sombra falharão assim que forem lançadas. Mas, sua esperança não é perder. Todos os arquivos com a extensão ".E3m7" foram criptografados (você pode verificar por si mesmo que, basta acessar as pastas de perfil do usuário, por exemplo, ou as unidades conectadas).
Como descriptografar meus arquivos?
Para descriptografar seus arquivos, você precisará pagar uma quantia em dinheiro de forma anônima.
O primeiro passo é criar uma conta Bitcoin (se você não tiver uma), use o seguinte URL:
Guia Crypto Runner.
Guia InvestoPedia.
Envie um pagamento para o seguinte endereço BitCoin de 0,4 BTC ~ 403,60 USD e mantenha o ID da transação / pagamento:
1Bqca3tn3Yco6SftgHeyYQUxqb2MPtwFBj
Depois, entre em contato com um dos seguintes endereços de email presentes abaixo. Se você não receber uma resposta de uma, envie para a outra até receber uma resposta (isso acontece em menos de 24 horas, em condições normais); verifique também sua pasta de spam. Use seu endereço de e-mail real e use o assunto "Descriptografia"; adicione como arquivo anexado este documento HTML e adicione ao corpo o ID do pagamento. Não fornecemos descriptografia para o serviço de teste; portanto, não solicitamos descriptografia gratuita no e-mail. Contaremos o restante das instruções após o envio do e-mail.
Faça o que você mandou. Não tente nos xingar ou bloquearemos você e seu ID para sempre. Não tente nos enganar usando o 10MinuteMail ou serviços semelhantes,
use-os para mais tarde.
Endereço de e-mail:
Primeiro endereço ("youngthug412")
Primeiro endereço ("hparrockneverstop")
Após a descriptografia, seu endereço de e-mail e seu ID serão apagados de nossos servidores, não tema por sua vida.
Há um limite de tempo?
Sim, daqui a três meses (dia, mês, ano;). A data foi adicionada ao ID e não pode ser removida (isso nos fará ignorá-lo para sempre). Seja rápido no pagamento, após 1,5 meses a partir de agora, o preço será aumentado de 50% e, após três meses, seu ID será bloqueado, o que acontecerá também com o seu endereço de e-mail real.
- N *** uma vida viva como vulcano e isso apenas o começo -
EU IRIA:

Em uma tentativa de assustar a vítima e pagar o dinheiro exigido, os criadores do VIAGRA Ransomware declaram que após um mês e meio a soma que eles desejam aumentará em 50%, enquanto após 3 meses eles bloquearão o ID da vítima e não aceite qualquer quantia em dinheiro para possível descriptografia.

Lidando com um Ataque do VIAGRA Ransomware

Se o seu sistema de computador foi bloqueado pelo VIAGRA Ransomware ou por qualquer uma das inúmeras ameaças de ransomware, pagar aos criminosos definitivamente NÃO é o melhor curso de ação. Não há garantia de que os criminosos possam fornecer uma ferramenta de descriptografia que possa restaurar com êxito os arquivos bloqueados, sem mencionar que eles podem simplesmente pegar o dinheiro e seguir em frente para criar sua próxima ameaça de malware. Em vez disso, as vítimas devem usar um software anti-malware legítimo para limpar os computadores comprometidos antes de tentar restaurar os dados criptografados de um backup criado anteriormente que foi mantido desconectado da rede.