Como parar e remover o Cash Ransomware

O cenário de ameaças cibernéticas introduziu outra ameaça, conhecida como Cash Ransomware. Este programa malicioso, desenvolvido pelo mesmo agente de ameaça por trás do Cash RAT (Trojan de acesso remoto) e do MintStealer, foi projetado para criptografar dados e exigir pagamento pela descriptografia. Cash Ransomware anexa os nomes dos arquivos criptografados com uma extensão ".CashRansomware", transformando "1.jpg" em "1.jpg.CashRansomware" e "2.png" em "2.png.CashRansomware".

Detalhes da nota de resgate

Cash Ransomware cria três notas de resgate: um papel de parede da área de trabalho, uma janela pop-up e um arquivo HTML chamado "Cash Ransomware.html". Estas notas, embora de aparência diferente, transmitem a mesma informação crítica:

• Notificação de que os arquivos foram criptografados.
• Exigências de pagamento de resgate para descriptografar os dados.
• Avisos contra ações que possam impedir a recuperação de dados.

As mensagens especificam que os arquivos foram criptografados usando algoritmos criptográficos XChaCha20, Poly1305 e AES-256-GCM. As vítimas são instruídas a pagar 80 dólares em criptomoeda Monero (XMR) para descriptografia. Além disso, as notas alertam contra a reinicialização do dispositivo ou a execução de programas antivírus, pois essas ações podem tornar os arquivos permanentemente indescriptografáveis. A desconexão da rede também é desencorajada, pois pode dificultar os esforços de negociação e recuperação.

A nota do Cash Ransomware é semelhante a esta:

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

Análise de ransomware de dinheiro

Com base na vasta experiência na pesquisa de infecções por ransomware, é evidente que a desencriptação sem o envolvimento dos invasores raramente é possível. Pagar o resgate não garante a recuperação dos dados, uma vez que os cibercriminosos muitas vezes não conseguem fornecer a chave de desencriptação, mesmo depois de as suas exigências serem satisfeitas. Portanto, é fortemente desaconselhado o cumprimento dos pedidos de resgate, uma vez que apenas alimenta atividades criminosas.

Curiosamente, o valor do resgate exigido pelo Cash Ransomware é relativamente baixo, o que é suspeito. O ransomware normalmente exige quantias que variam de três a quatro dígitos (em dólares americanos) dos usuários domésticos. Quando o resgate é excepcionalmente baixo, os invasores podem não se preocupar em enviar ferramentas de recuperação às vítimas, sugerindo que o ransomware pode ser usado para gerar receita ou testar novos softwares/técnicas.

Mitigação e Prevenção

Para evitar criptografia adicional, o Cash Ransomware deve ser removido do sistema operacional. No entanto, isso não restaurará os arquivos já afetados. A recuperação só é possível a partir de um backup, enfatizando a importância de manter backups em vários locais (por exemplo, servidores remotos, dispositivos de armazenamento desconectados).

Exemplos notáveis de ransomware

LockBit 5, Risen, Cronus, Lynx e HorrorDead são exemplos recentes de ransomware, todos funcionando de forma semelhante, criptografando dados e exigindo pagamento pela descriptografia. Os programas ransomware diferem principalmente nos algoritmos criptográficos usados (simétricos ou assimétricos) e no tamanho do resgate, que varia dependendo do alvo (usuários domésticos vs. grandes entidades como corporações e organizações).

Vetores de infecção

Cash Ransomware é oferecido como RaaS (Ransomware-as-a-Service), o que significa que seus desenvolvedores o vendem para cibercriminosos. Consequentemente, o método de proliferação pode variar. Geralmente, o malware se espalha por meio de táticas de phishing e engenharia social, muitas vezes disfarçado ou empacotado com conteúdo legítimo. Os ficheiros maliciosos podem ser executáveis, arquivos, documentos, JavaScript, etc., com a cadeia de descarregamento/instalação acionada ao abrir o ficheiro infectado.

As técnicas comuns de distribuição de malware incluem:

• Trojans do tipo carregador/backdoor.
• Downloads drive-by.
• Fontes de download duvidosas (por exemplo, sites de freeware, redes P2P).
• Anexos/links maliciosos em e-mails de spam.
• Golpes on-line.
• Ferramentas ilegais de ativação de software ("cracking").
• Atualizações falsas.

Além disso, alguns malwares podem se autopropagar através de redes locais e dispositivos de armazenamento removíveis.

Medidas de Proteção

Para se proteger contra infecções de ransomware:

• Baixe apenas de canais oficiais e verificados.
• Ative e atualize programas usando funções/ferramentas originais.
• Trate e-mails e mensagens recebidas com cautela.
• Evite abrir anexos ou links suspeitos.
• Mantenha vigilância durante a navegação para evitar conteúdo fraudulento.
• Instale e atualize regularmente software antivírus confiável.
• Execute verificações regulares do sistema para detectar e remover ameaças.

Se o seu computador estiver infectado pelo Cash Ransomware, é recomendável executar uma verificação com um programa anti-malware para eliminar automaticamente a ameaça. Fique seguro e mantenha seus dados protegidos aderindo a estas práticas recomendadas.