Empire Ransomware bloqueia sistemas de vítimas

Durante a análise de novas amostras de arquivos, um ransomware conhecido como Empire foi identificado. Empire emprega criptografia para impedir que as vítimas acessem seus arquivos e adiciona a extensão ".emp" aos nomes dos arquivos. Por exemplo, ele altera “1.jpg” para “1.jpg.emp”, “2.png” para “2.png.emp” e assim por diante.

Além disso, o Empire gera um ficheiro chamado "HOW-TO-DECRYPT.txt", que serve como nota de resgate. Os invasores afirmam ter criptografado com segurança todos os arquivos no computador da vítima usando seu software proprietário, afirmando que apenas uma chave e um descriptografador específicos em sua posse podem restaurar os arquivos. Para recuperar os dados criptografados, as vítimas são instruídas a comprar o descriptografador por meio de um link fornecido em um bot do Telegram.

Caso o bot não esteja disponível, um método alternativo de comunicação é oferecido por e-mail (howtodecryptreserve@proton.me). A nota desaconselha a tentativa de recuperação independente dos arquivos, pois isso pode resultar em danos irreversíveis. Além disso, as vítimas são avisadas para não desligar o computador até que o processo de desencriptação seja concluído.

Nota de resgate do Empire contém lista de arquivos criptografados

O texto completo da nota de resgate do Império é o seguinte:

Empire welcomes you!

All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this link

hxxps://t.me/how_to_decrypt_bot

If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me

There you will receive an up-to-date contact for personal communication.

Do not try to recover files yourself, they may break and we will not be able to return them, also try not to turn off your computer until decryption.
Your ID is -

(list of encrypted files)

Como você pode proteger seus dados confidenciais contra ransomware?

A proteção de dados confidenciais contra ransomware requer uma combinação de medidas proativas e práticas recomendadas. Aqui estão algumas etapas importantes para ajudar a proteger seus dados contra ataques de ransomware:

Backups regulares:
Faça backups regulares de seus dados importantes e garanta que eles sejam armazenados com segurança.
Use uma combinação de backups locais e externos para mitigar o risco de ataques de ransomware locais e baseados em rede.
Verifique a integridade dos seus backups e teste regularmente o processo de restauração.

Atualizar o software:
Mantenha seu sistema operacional, software antivírus e todos os aplicativos atualizados com os patches de segurança mais recentes.
Ative atualizações automáticas sempre que possível para garantir proteção oportuna contra vulnerabilidades conhecidas.

Use software de segurança confiável:
Instale software antivírus e antimalware confiável em seu sistema.
Mantenha as definições do software de segurança atualizadas para detectar e bloquear novas ameaças.

Segurança de e-mail:
Implemente soluções de filtragem de e-mail para bloquear e-mails e anexos maliciosos.
Configure sistemas de e-mail para exibir extensões de arquivo e avisar os usuários sobre possíveis ameaças.

Segurança de rede:
Use firewalls para monitorar e controlar o tráfego de rede de entrada e saída.
Segmente sua rede para conter a propagação de ransomware em caso de infecção.