Adfuhbazi Ransomware bloqueará todos os seus arquivos

Durante nossa análise de novos envios de malware, nossos pesquisadores encontraram o Adfuhbazi, um programa de ransomware pertencente à família de ransomware Snatch. Este software malicioso específico criptografa arquivos e adiciona uma extensão ".adfuhbazi" aos seus nomes de arquivo. Por exemplo, um arquivo chamado "1.jpg" seria transformado em "1.jpg.adfuhbazi" e "2.png" se tornaria "2.png.adfuhbazi" e assim por diante para todos os arquivos criptografados.

Após o processo de criptografia, uma nota de resgate intitulada "COMO RESTAURAR SEUS ARQUIVOS ADFUHBAZI.TXT" é gerada. O conteúdo da mensagem indica que este ransomware visa principalmente grandes organizações em vez de usuários individuais. A nota de resgate, dirigida à vítima como "gerenciamento", informa que seus arquivos foram criptografados e que mais de 200 GB de dados foram extraídos da rede comprometida. Os dados roubados incluem informações confidenciais, como dados contábeis, documentos confidenciais, bancos de dados de clientes e registros pessoais.

A nota desaconselha explicitamente o uso de ferramentas de descriptografia de terceiros, enfatizando que tais ferramentas tornariam os dados criptografados irrecuperáveis. Além disso, a mensagem serve como um alerta, informando que, se a vítima não conseguir entrar em contato com os invasores em três dias, é provável que os dados roubados sejam divulgados publicamente.

Adfuhbazi Ransomware visando empresas

O texto completo da nota de resgate usada pelo Adfuhbazi deixa claro que o ransomware visa empresas. A nota completa diz o seguinte:

Prezada Gerência!

Informamos que sua rede foi submetida a um teste de penetração, durante o qual criptografamos
seus arquivos e baixou mais de 200 GB de seus dados, incluindo:

Contabilidade
Documentos confidenciais
Dados pessoais
Bancos de dados de clientes

Importante! Não tente descriptografar arquivos sozinho ou usando utilitários de terceiros.
O programa que os pode desencriptar é o nosso desencriptador, que pode solicitar nos contactos abaixo.
Qualquer outro programa só pode danificar arquivos.

Esteja ciente de que, se não recebermos uma resposta sua dentro de 3 dias, nos reservamos o direito de publicar seus arquivos.

Contate-nos:

777doctor@proton.me ou 777doctor@swisscows.email

Como o Ransomware como o Adfuhbazi é implantado nos sistemas das vítimas?

A implantação de ransomware como o Adfuhbazi nos sistemas das vítimas geralmente envolve várias técnicas e estratégias empregadas pelos cibercriminosos. Embora os métodos específicos possam variar, aqui está uma visão geral de como o ransomware é comumente implantado:

E-mails de phishing: um método comum é por meio de e-mails de phishing, em que os invasores enviam e-mails enganosos representando entidades legítimas ou contendo anexos maliciosos. Esses e-mails podem induzir os destinatários a abrir anexos infectados ou clicar em links maliciosos, que iniciam o download do ransomware.

Kits de exploração: os cibercriminosos podem explorar vulnerabilidades em software, sistemas operacionais ou navegadores da Web para distribuir ransomware. Eles utilizam kits de exploração, que são ferramentas automatizadas que podem identificar e explorar pontos fracos de segurança, permitindo que o ransomware seja baixado e executado silenciosamente no sistema da vítima.

Malvertising: Anúncios maliciosos, também conhecidos como malvertisements, podem ser injetados em sites ou redes de anúncios legítimos. Quando os usuários clicam nesses anúncios, eles podem inadvertidamente acionar o download e a execução do ransomware.

Ataques de Protocolo de Área de Trabalho Remota (RDP): Os invasores podem ter como alvo sistemas com configurações de Protocolo de Área de Trabalho Remota fracas ou comprometidas. Ao obter acesso não autorizado ao sistema da vítima, eles podem instalar e executar manualmente o ransomware.

Vulnerabilidades de software: os desenvolvedores de ransomware geralmente exploram vulnerabilidades de segurança em software comumente usado. Se um usuário não atualizar seu software imediatamente, ele pode deixar seu sistema exposto a essas vulnerabilidades, permitindo a instalação de ransomware.

Drive-by Downloads: código malicioso pode ser injetado em sites comprometidos ou maliciosos. Quando os usuários visitam esses sites, o ransomware pode ser baixado e executado sem seu conhecimento ou consentimento.

É crucial que indivíduos e organizações implementem medidas de segurança robustas, como atualizar regularmente o software, usar senhas fortes, empregar sistemas de filtragem de e-mail e educar os usuários sobre práticas online seguras, para mitigar o risco de infecções por ransomware.