Deep Ransomware bloqueará seu sistema

Ao analisar envios recentes de arquivos, nossos pesquisadores encontraram um programa de ransomware conhecido como Deep, que pertence à família de ransomware Phobos. Deep (Phobos) funciona criptografando dados e exigindo pagamento em troca da chave de descriptografia.

Em nosso sistema de teste, esse ransomware criptografou arquivos e modificou seus nomes. Os nomes dos arquivos originais foram estendidos com um identificador exclusivo atribuído à vítima, o endereço de e-mail dos cibercriminosos e uma extensão “.deep”. Por exemplo, um arquivo originalmente chamado "1.jpg" apareceria como "1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep."

Assim que o processo de criptografia foi concluído, notas de resgate foram criadas e exibidas em uma janela pop-up chamada "info.hta" e em um arquivo de texto chamado "info.txt".

O arquivo de texto associado ao ransomware Deep (Phobos) afirma que os arquivos da vítima foram criptografados e os incentiva a entrar em contato com os invasores para obter assistência na descriptografia.

A janela pop-up fornece informações adicionais sobre a infecção por ransomware, explicando que a recuperação de dados só pode ser alcançada pagando um resgate em criptomoeda Bitcoin. Antes de efetuar o pagamento, a vítima tem a opção de testar o processo de descriptografia, enviando aos cibercriminosos até três arquivos criptografados, seguindo determinadas especificações.

A nota termina com avisos contra renomear os arquivos criptografados ou tentar usar software de recuperação de terceiros, pois isso pode resultar na perda permanente de dados. Além disso, buscar assistência de terceiros pode levar ao aumento das perdas financeiras.

Nota do Deep Ransomware usa modelo Phobos

O texto completo da nota de resgate gerada pelo ransomware Deep é o seguinte:

Todos os seus arquivos foram criptografados!

Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se quiser restaurá-los, escreva-nos para o e-mail capita-america@tuta.io
Escreva este ID no título da sua mensagem -
Se você não receber uma resposta dentro de 24 horas, entre em contato conosco pela conta Telegram.org: @HostUppp
Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento enviaremos a você a ferramenta que irá descriptografar todos os seus arquivos.

Descriptografia gratuita como garantia
Antes de pagar você pode nos enviar até 3 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 4 MB (não arquivados) e os arquivos não devem conter informações valiosas. (bancos de dados, backups, planilhas grandes do Excel, etc.)

Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é no site LocalBitcoins. Você deve se registrar, clicar em ‘Comprar bitcoins’ e selecionar o vendedor por forma de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode aumentar o preço (eles acrescentam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Como um ransomware como o Deep pode entrar no seu sistema?

Ransomware como o Deep podem se infiltrar no seu sistema por vários meios, muitas vezes explorando vulnerabilidades ou usando táticas de engenharia social. Aqui estão algumas maneiras comuns pelas quais o ransomware pode entrar no seu sistema:

• E-mails de phishing: os cibercriminosos enviam e-mails convincentes, mas maliciosos, que parecem ser de fontes confiáveis. Esses e-mails podem conter anexos ou links que, quando abertos, executam o código ransomware em seu sistema.
• Sites maliciosos: visitar sites comprometidos ou maliciosos pode desencadear downloads drive-by, onde o ransomware é automaticamente baixado e executado em seu sistema sem o seu conhecimento.
• Software ou arquivos infectados: Baixar software ou arquivos de fontes não confiáveis, especialmente software pirateado ou crackeado, aumenta o risco de infecção por ransomware. Esses arquivos podem conter malware oculto.
• Explorando vulnerabilidades: O ransomware pode tirar vantagem de vulnerabilidades de software em seu sistema operacional ou aplicativos. A falha em atualizar seu software e aplicar patches de segurança deixa seu sistema suscetível a tais ataques.
• Ataques de protocolo de área de trabalho remota (RDP): se você tiver o RDP ativado e usar senhas fracas ou facilmente adivinhadas, os invasores poderão obter acesso remoto ao seu sistema e instalar ransomware.
• Malvertising: os cibercriminosos podem colocar anúncios maliciosos em sites legítimos. Clicar nesses anúncios ou apenas visitar um site comprometido pode levar à infecção por ransomware.
• Engenharia social: os invasores podem se passar por pessoal de suporte técnico ou outros indivíduos confiáveis para induzi-lo a baixar ou executar ransomware.
• USB e mídia removível: o malware pode se espalhar através de unidades USB infectadas ou outras mídias removíveis. Conectar um dispositivo infectado pode introduzir ransomware em seu sistema.