O Ransomwared Ransomware pede imagens nuas em vez de Bitcoins

Uma família de ransomware chamada Ransomwared vem divulgando as notícias ultimamente, e há pelo menos duas razões muito boas para isso. Por um lado, ele é voltado para usuários individuais, e não para grandes organizações, o que é algo incomum atualmente. Talvez mais notáveis, no entanto, sejam as demandas que os bandidos fazem. Parece que não se trata mais dos bitcoins.

Não há muitos detalhes sobre a recente campanha Ransomwared

Embora muitas pessoas pareçam estar falando sobre as amostras recém-descobertas pelo Ransomwar, os detalhes reais sobre a distribuição e operação da ameaça são escassos. Os especialistas que a examinaram não disseram nada sobre como se depararam com ela. Não há informações sobre os métodos de distribuição e a engenharia social usada para induzir as vítimas a instalar o ransomware, e só podemos adivinhar quantas pessoas foram atingidas.

O que sabemos com certeza é que os bandidos nunca quiseram ganhar dinheiro com a campanha atual.

Os criminosos criptografam os arquivos dos usuários e exigem imagens explícitas em troca do decodificador

Uma vez implantado, o Ransomwared criptografa os arquivos encontrados no computador infectado e, nas versões mais recentes, anexa a extensão de arquivo.iwanttits. A falta de análise técnica significa que não podemos ter certeza de quais arquivos o Ransomwared segmenta, mas as capturas de tela que os pesquisadores de segurança compartilharam sugerem que ele só criptografa os dados encontrados nas seguintes pastas:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

Diferentemente da maioria das famílias de malware desse tipo, o Ransomwared não deixa nenhuma nota de resgate. Em vez disso, quando estiver pronto para a criptografia, ele exibe uma janela pop-up com a seguinte mensagem:

"Os arquivos estão criptografados. Mostre-me seus peitos para descriptografá-lo."

Clicar no botão OK abre outra janela, que mostra que os arquivos nos quatro diretórios mencionados acima são criptografados. Há um campo para a chave de recuperação e uma segunda mensagem:

"Você foi resgatada! Para recuperar seus arquivos, envie-nos um e-mail com as mamas para: sashagrey@blurred.credit"

Os pesquisadores da Emsisoft examinaram mais de perto as novas amostras e apontaram, com razão, que os bandidos se esqueceram de mencionar que tipo de mamas estão procurando. Os especialistas sugeriram que, em vez de tirar fotos nuas de si mesmas e enviá-las por e-mail para um endereço com o nome de uma ex-estrela pornô, as vítimas podem tentar enviar fotos de pequenos pássaros canoros e ver se isso satisfaz os desejos dos criminosos. Mesmo isso não será necessário, no entanto, porque os arquivos criptografados com o Ransomwared podem ser facilmente descriptografados.

A restauração de dados não precisa envolver fotos nuas

Pedir às vítimas fotos nuas em troca do desbloqueio de seus arquivos pode ser uma técnica relativamente recente empregada pelos operadores Ransomwared, mas o malware em si não é novo. Alguns minutos no Google lhe dirão que a tensão estava ocorrendo pela primeira vez no final de 2018 e, embora as demandas naquela época fossem um pouco mais tradicionais, a operação de ransomware era praticamente idêntica. Quando o viram pela primeira vez, os pesquisadores de segurança analisaram a família de ransomware e rapidamente perceberam que ela não era muito avançada.

O mecanismo de criptografia do Ransomwared depende do DES (abreviação de Data Encryption Standard), um algoritmo de criptografia de chave simétrica desenvolvido na década de 1970. É um algoritmo fraco na melhor das hipóteses, e ainda por cima, a análise técnica das amostras recentes do Ransomwar revelou que a chave que desbloqueia os arquivos das pessoas é armazenada no código-fonte do malware em texto simples.

Você não precisa vasculhar o código para descriptografar seus arquivos. No início do mês, a Emsisoft lançou uma ferramenta de descriptografia gratuita que pode desbloquear arquivos criptografados por versões novas e antigas do Ransomwared.

As vítimas de ransomware geralmente cometem o erro de pular a arma e ceder às demandas dos bandidos, sem pensar nas consequências. Como você pode ver, no entanto, com frequência, alguns minutos de pesquisa são suficientes para economizar algumas moedas criptográficas ou, nesse caso, muita vergonha. A pesquisa mencionada também pode fornecer uma idéia de quão importantes são os backups.

February 14, 2020

Deixe uma Resposta