Backoff Ransomware altera o papel de parede do sistema

Nossa equipe de pesquisa identificou o ransomware Backoff durante um exame de novas amostras de arquivos. Este software malicioso faz parte da família de ransomware Chaos, um tipo de malware conhecido por criptografar dados e exigir resgates para descriptografia.

Backoff criptografa arquivos e adiciona uma extensão “.backoff” aos seus nomes. Por exemplo, um arquivo original chamado “1.jpg” tornou-se “1.jpg.backoff” e “2.png” se transformou em “2.png.backoff” e assim por diante. Além disso, o ransomware altera o papel de parede da área de trabalho e gera uma nota de resgate chamada “read_it.txt”.

De acordo com a mensagem de Backoff, o ransomware foi supostamente liberado para fins de teste. Notavelmente, a nota não contém instruções para descriptografia ou pagamento de resgate, mas fornece informações de contato dos invasores. A nota sugere que o autor do ransomware sabe que o ransomware será examinado dentro de um sistema de teste, portanto, esta é provavelmente uma versão muito inicial que ainda está em desenvolvimento ativo.

Nota de resgate de retirada é breve

O texto completo da breve nota de resgate produzida por Backoff é o seguinte:

Good Afternoon.
Since you are being a pain and trying to grab my files and be nosey, here is a little treat.

Im testing stuff just as you are.

Care to chat. My tele is
@anontsugumi

Como o ransomware pode se propagar pela Internet?

O ransomware pode se propagar pela Internet por meio de vários métodos, explorando vulnerabilidades e comportamentos humanos. Aqui estão algumas maneiras comuns:

E-mails de phishing: os cibercriminosos costumam usar e-mails de phishing para distribuir ransomware. Esses e-mails contêm anexos ou links maliciosos que, quando clicados, podem baixar e executar o ransomware no sistema da vítima.

Sites e downloads maliciosos: visitar sites comprometidos ou maliciosos pode expor os usuários a downloads drive-by, onde malware, incluindo ransomware, é automaticamente baixado e executado no computador do usuário sem seu conhecimento.

Kits de exploração: os cibercriminosos podem utilizar kits de exploração que visam vulnerabilidades em software e sistemas operacionais. Se o sistema de um usuário não estiver devidamente corrigido ou atualizado, esses kits podem explorar vulnerabilidades para instalar ransomware.

Malvertising: Publicidade maliciosa, ou malvertising, envolve a colocação de código malicioso em anúncios online. Os usuários que clicam nesses anúncios podem baixar ransomware em seus sistemas sem saber.

Downloads drive-by: O ransomware pode ser entregue por meio de downloads drive-by, onde o malware é baixado e instalado automaticamente quando um usuário visita um site comprometido ou malicioso. Isso pode acontecer sem qualquer ação exigida do usuário.

Explorações do Remote Desktop Protocol (RDP): Os invasores podem explorar vulnerabilidades no Remote Desktop Protocol (RDP) para obter acesso não autorizado a um sistema. Uma vez lá dentro, eles podem implantar ransomware.

Engenharia Social: Os cibercriminosos usam técnicas de engenharia social para induzir os indivíduos a baixar arquivos maliciosos ou clicar em links. Isso pode ocorrer por meio de atualizações de software falsas, notificações falsas ou ofertas atraentes.

Ataques Watering Hole: Nos ataques watering hole, os cibercriminosos comprometem sites que são frequentemente visitados pelo público-alvo. Quando os usuários visitam esses sites comprometidos, eles podem baixar ransomware sem saber.