Gyew Ransomware é baseado no código Djvu
Nosso exame de amostras de malware recentemente descobertas revelou a variante do ransomware Gyew. Além disso, foi identificado que Gyew está ligado à família de malware Djvu. Esta variante específica de ransomware opera criptografando arquivos, adicionando a extensão ".gyew" aos seus nomes e deixando uma nota de resgate chamada "_readme.txt" no sistema afetado.
Ilustrativamente, Gyew altera nomes de arquivos transformando "1.jpg" em "1.jpg.gyew", "2.png" em "2.png.gyew" e assim por diante. A nota de resgate afirma que vários arquivos, incluindo imagens, bancos de dados e documentos cruciais, foram criptografados. Para restaurar o acesso a esses ficheiros, as vítimas são orientadas a obter uma ferramenta de desencriptação e uma chave exclusiva. A nota oferece garantias ao permitir que as vítimas enviem um arquivo criptografado para descriptografia gratuita, desde que o arquivo não contenha informações valiosas.
O custo para obter a chave privada e o software de descriptografia é de US$ 980. No entanto, há uma oportunidade de aproveitar um desconto de 50% se as vítimas entrarem em contato com os agressores nas primeiras 72 horas, reduzindo efetivamente o custo para US$ 490. As vítimas podem estabelecer comunicação com os cibercriminosos através dos endereços de e-mail fornecidos: support@freshmail.top e datarestorehelp@airmail.cc.
Nota de resgate de Gyew exige pagamento de US$ 490
O texto completo da nota de resgate de Gyew é o seguinte:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-CDZ4hMgp2X
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelp@airmail.ccYour personal ID:
Como o ransomware é geralmente distribuído online?
O ransomware normalmente é distribuído on-line por meio de vários métodos, e os invasores geralmente empregam diversas técnicas para aumentar a probabilidade de sucesso. Aqui estão as maneiras comuns pelas quais o ransomware é distribuído:
E-mails de phishing:
Um dos métodos mais comuns é através de e-mails de phishing. Os invasores enviam e-mails contendo anexos ou links maliciosos que, quando clicados, baixam e executam o ransomware no sistema da vítima.
Anexos de e-mail maliciosos:
O ransomware pode estar oculto em anexos de e-mail, como arquivos executáveis, PDFs ou documentos do Office. Assim que o anexo for aberto, o ransomware será liberado.
Sites infectados:
Visitar sites comprometidos ou maliciosos pode levar ao download e instalação automáticos de ransomware. Isso geralmente acontece por meio de kits de exploração que aproveitam vulnerabilidades no navegador ou plug-ins do usuário.
Malvertising:
Anúncios maliciosos ou malvertisements em sites legítimos podem redirecionar os usuários para sites que hospedam ransomware. Clicar nesses anúncios pode acionar o download e a instalação do ransomware.
Downloads drive-by:
O ransomware pode ser entregue por meio de downloads drive-by, onde o malware é automaticamente baixado e instalado no dispositivo de um usuário sem seu conhecimento ou consentimento quando ele visita um site comprometido.
