Ransomware

O ransomware continua a ser uma ameaça formidável no cenário cibernético, com Frea Ransomware sendo um exemplo recente que chamou a atenção de especialistas em segurança cibernética. Este artigo fornece uma visão aprofundada do Frea ransomware, explorando suas táticas de infecção, as alterações que ele faz nos arquivos, os métodos de criptografia que emprega, a nota de resgate que deixa para trás, a disponibilidade de ferramentas de descriptografia e possíveis métodos de descriptografia para arquivos afetados. . Após a infecção, o Frea ransomware começa a criptografar arquivos em todo o sistema. Ele tem como alvo uma variedade de tipos de arquivos, incluindo potencialmente documentos, imagens e bancos de dados. Depois de criptografar esses arquivos, Frea anexa um .frea extensão aos nomes dos arquivos, sinalizando que eles foram comprometidos. Por exemplo, um arquivo originalmente chamado 1.jpg seria renomeado para 1.jpg.frea após a criptografia. Frea ransomware cria uma nota de resgate chamada oku.txt que é deixado na área de trabalho do usuário ou em pastas contendo arquivos criptografados. Esta nota contém instruções dos invasores, normalmente exigindo o pagamento de um resgate em troca da chave de descriptografia necessária para desbloquear os arquivos. Além de criptografar arquivos e enviar uma nota de resgate, Frea também altera o papel de parede da área de trabalho, uma tática comum usada por ransomware para alertar a vítima sobre a infecção e reforçar a urgência do pedido de resgate.

Dzen Ransomware é uma variante de software malicioso que se enquadra na categoria de criptovírus. Como forma de ransomware, a sua principal função é infiltrar-se nos sistemas de computador, encriptar ficheiros e exigir um resgate da vítima em troca da chave de desencriptação. Este tipo de ataque cibernético pode ter efeitos devastadores tanto para indivíduos como para organizações, levando à perda de dados e danos financeiros. Após a infiltração bem-sucedida, o Dzen Ransomware criptografa os arquivos no computador afetado. Ele usa um algoritmo de criptografia robusto para bloquear arquivos, tornando-os inacessíveis ao usuário. O ransomware anexa uma extensão exclusiva .dzen aos nomes de todos os arquivos criptografados, que normalmente incluem o ID da vítima. Por exemplo, um arquivo originalmente chamado document.docx pode ser renomeado para document.docx.[victim's_ID].[vinsulan@tutamail.com].dzen após a criptografia. O Dzen Ransomware cria uma nota de resgate que informa a vítima sobre a criptografia e fornece instruções sobre como proceder. A nota de resgate geralmente é chamada info.txt or info.hta e é colocado na área de trabalho ou em pastas contendo arquivos criptografados. A nota especifica que os dados da vítima foram criptografados e só podem ser desbloqueados com uma chave de descriptografia, que os invasores afirmam fornecer mediante o pagamento do resgate. A nota também pode incluir informações de contato dos cibercriminosos e instruções de pagamento, normalmente exigindo pagamento em criptomoedas como Bitcoin.

REDCryptoApp Ransomware é um tipo de software malicioso que se enquadra na categoria de cripto-ransomware. Esta cepa específica de ransomware foi projetada para se infiltrar em sistemas de computador, criptografar arquivos e exigir resgate da vítima em troca da chave de descriptografia. As seções a seguir fornecem uma análise detalhada do REDCryptoApp Ransomware, seus métodos de infecção, extensões de arquivo, mecanismos de criptografia, notas de resgate, ferramentas de descriptografia disponíveis e métodos para descriptografar os arquivos afetados. Após a infecção, o REDCryptoApp Ransomware verifica o sistema em busca de arquivos para criptografar. Ele tem como alvo uma ampla variedade de tipos de arquivos, incluindo documentos, imagens, vídeos e bancos de dados. Depois de criptografar os arquivos, o ransomware anexa uma extensão de arquivo específica aos nomes dos arquivos originais, que geralmente é um identificador exclusivo para a variante do ransomware, como .REDCryptoApp. A criptografia usada pelo REDCryptoApp Ransomware é normalmente uma combinação de algoritmos simétricos e assimétricos. A criptografia simétrica, como AES, é usada para criptografia em massa de arquivos devido à sua eficiência. A criptografia assimétrica, como a RSA, é empregada para criptografar as chaves simétricas, garantindo que apenas o invasor tenha acesso à chave privada necessária para a descriptografia. REDCryptoApp Ransomware cria uma nota de resgate que fornece instruções à vítima sobre como pagar o resgate e obter a chave de descriptografia. Esta nota geralmente é um arquivo de texto, chamado algo como HOW_TO_RESTORE_FILES.REDCryptoApp.txt, e é colocado na área de trabalho ou em pastas que contêm arquivos criptografados. A nota normalmente inclui o valor do resgate, frequentemente exigido em criptomoedas como Bitcoin, e instruções sobre como efetuar o pagamento.

ELITTE87 Ransomware é uma variante do criptovírus que pertence à família Phobos, conhecida por suas capacidades destrutivas. Depois de se infiltrar no sistema, ele criptografa os arquivos, tornando-os inacessíveis ao usuário. Além da criptografia, o ELITTE87 realiza outras ações maliciosas, como desabilitar o firewall e excluir cópias de sombra de volume. Este último é particularmente preocupante, pois impede a possibilidade de restaurar arquivos criptografados através dos recursos de backup integrados do Windows. Este ransomware modifica nomes de arquivos anexando o ID da vítima, um endereço de e-mail e o .ELITTE87 extensão para cada arquivo criptografado. Por exemplo, um arquivo chamado sample.jpg seria renomeado para sample.jpg.id[random-id].[helpdata@zohomail.eu].ELITTE87. O ransomware deste tipo normalmente emprega uma combinação de algoritmos de encriptação simétricos e assimétricos para proteger os ficheiros, tornando-os inacessíveis sem a chave de desencriptação exclusiva mantida pelos invasores. O ransomware ELITTE87 gera duas notas de resgate: uma é exibida em uma janela pop-up e a outra é um arquivo de texto chamado info.txt criado em cada diretório que contém arquivos criptografados. A nota de resgate informa às vítimas que os seus dados foram encriptados e descarregados e que a desencriptação só é possível com o software dos cibercriminosos. Ele alerta contra a tentativa de descriptografar os dados de forma independente ou usando software de terceiros, pois isso pode levar à perda permanente de dados. A nota também desencoraja a procura de ajuda de empresas intermediárias ou de recuperação, sugerindo que isso pode resultar em mais perda de dados ou fraude.

SatanCD Ransomware é um programa malicioso classificado na categoria ransomware, especificamente baseado na família de ransomware Chaos. Este malware foi projetado para criptografar arquivos no computador infectado, tornando-os inacessíveis ao usuário e, em seguida, exige pagamento pela sua descriptografia. Ao infectar um computador, o SatanCD altera os nomes dos arquivos criptografados anexando uma extensão composta por quatro caracteres aleatórios. Por exemplo, um arquivo chamado 1.jpg pode ser renomeado para 1.jpg.563l e 2.png para 2.png.a7vb. Esse padrão de renomeação facilita a identificação de arquivos que foram criptografados por esse ransomware específico. Embora os algoritmos de criptografia exatos usados ​​pelo SatanCD não tenham sido especificados na fonte, sendo um programa de ransomware sugere o uso de métodos de criptografia fortes, provavelmente tornando a descriptografia não autorizada sem a chave de descriptografia extremamente difícil, se não impossível. Depois de criptografar os arquivos, o SatanCD altera o papel de parede da área de trabalho e cria uma nota de resgate intitulada read_it.txt. Esta nota informa à vítima que os seus ficheiros foram encriptados e que a única forma de os desencriptar é adquirindo software de desencriptação dos invasores. A nota provavelmente contém instruções sobre como pagar o resgate e entrar em contato com os invasores.

Napoli Ransomware é um tipo de software malicioso que se enquadra na categoria de ransomware, projetado para criptografar dados no computador da vítima, tornando os arquivos inacessíveis. Os invasores exigem então o pagamento de um resgate, normalmente em criptomoeda, pela chave de descriptografia que permitirá à vítima recuperar o acesso aos seus arquivos. Após a infecção, o Napoli Ransomware criptografa os arquivos no computador da vítima e anexa uma extensão de arquivo específica aos arquivos criptografados. Observou-se que o ransomware usa o .napoli extensão, indicando que um arquivo foi criptografado e não está mais acessível em sua forma original. O método de criptografia usado pelo Napoli Ransomware não é especificado nos resultados da pesquisa fornecidos. No entanto, o ransomware normalmente emprega algoritmos de encriptação fortes, como AES ou RSA, para garantir que os ficheiros encriptados não possam ser facilmente desencriptados sem a chave de desencriptação correspondente. Depois de criptografar os arquivos, o Napoli Ransomware cria uma nota de resgate que fornece instruções à vítima sobre como pagar o resgate e obter a chave de descriptografia. A nota de resgate normalmente é um arquivo de texto, denominado read_it.txt, e é colocado na área de trabalho ou em pastas que contêm arquivos criptografados. Além disso, o ransomware pode alterar o papel de parede da área de trabalho para exibir a mensagem de resgate.

MarioLocker é um software malicioso classificado como ransomware, um tipo de malware que criptografa os arquivos das vítimas, tornando-os inacessíveis. O principal objetivo dos invasores de ransomware é exigir um resgate das vítimas, normalmente em troca de uma chave de descriptografia necessária para desbloquear os arquivos criptografados. MarioLocker Ransomware anexa uma extensão exclusiva aos arquivos criptografados. Ele renomeia arquivos adicionando o .wasted ramal seguido por um número sequencial, como .wasted1, .wasted2, e assim por diante. Esta convenção de renomeação serve como um indicador claro da presença do ransomware no sistema. A nota de resgate é um componente crítico da estratégia do ransomware, fornecendo às vítimas instruções sobre como proceder. MarioLocker cria um arquivo de texto chamado @Readme.txt, que contém uma mensagem de resgate. Esse arquivo normalmente é colocado nos mesmos diretórios dos arquivos criptografados ou em um local de destaque, como a área de trabalho. A nota instrui as vítimas a abrir um arquivo chamado "WastedBitDecryptor" e seguir as etapas descritas nele. Além disso, ele direciona as vítimas para um arquivo chamado YourFiles.txt localizado no diretório "C:\Windows\Temp", que contém uma lista de arquivos criptografados.

RTM Locker Ransomware, também conhecido como Read The Manual Locker, emergiu como uma ameaça significativa no cenário da segurança cibernética. Este software malicioso faz parte de um modelo Ransomware as a Service (RaaS), onde os afiliados pagam uma porcentagem de seus lucros pelo uso da infraestrutura RTM Locker para lançar seus ataques. Este modelo facilitou a disseminação do RTM Locker, tornando-o uma ameaça predominante tanto para indivíduos como para organizações. Após a infecção, o RTM Locker acrescenta uma extensão exclusiva de 64 caracteres aos nomes de todos os arquivos criptografados, tornando-os inacessíveis aos usuários. Esta extensão é uma combinação de caracteres aleatórios, complicando significativamente a identificação e recuperação dos arquivos afetados. O método de criptografia usado pelo RTM Locker envolve uma combinação de criptografia assimétrica e simétrica, tornando praticamente impossível descriptografar os arquivos sem a chave privada do invasor. RTM Locker deixa cair uma nota de resgate chamada How To Restore Your Files.txt na área de trabalho da vítima. Esta nota informa as vítimas sobre a criptografia e exige contato dentro de 48 horas para evitar a divulgação pública dos dados criptografados. A nota alerta contra a tentativa de descriptografar os arquivos de forma independente, pois isso pode levar à perda permanente de dados.