O que é Pomochit Ransomware?
Pomochit é um programa do tipo ransomware, identificado como parte da família de ransomware MedusaLocker. Este malware criptografa arquivos no sistema infectado, com o objetivo de extorquir o pagamento das vítimas em troca da descriptografia.
Table of Contents
Criptografia de arquivo e nota de resgate
Em nossa máquina de teste, Pomochit anexou uma extensão “.pomochit01” aos títulos dos arquivos criptografados. Por exemplo, "1.jpg" tornou-se "1.jpg.pomochit01" e "2.png" tornou-se "2.png.pomochit01". O número na extensão pode variar dependendo da variante do ransomware.
Depois de concluir o processo de criptografia, Pomochit deixou cair uma nota de resgate chamada “How_to_back_files.html”. Esta nota indica que o ransomware tem como alvo principal grandes entidades, e não usuários domésticos individuais.
A nota de resgate do Pomochit é assim:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Visão geral da nota de resgate
A nota de resgate do Pomochit revela que a rede da empresa da vítima foi comprometida. Afirma que os ficheiros encriptados foram protegidos usando algoritmos criptográficos RSA e AES. Além disso, dados confidenciais e pessoais foram extraídos durante o ataque.
A nota alerta as vítimas contra renomear, modificar ou usar ferramentas de recuperação de terceiros nos ficheiros encriptados, pois essas ações podem tornar os dados indecifráveis. Os invasores exigem pagamento pela descriptografia e ameaçam vazar o conteúdo roubado se suas exigências não forem atendidas. Se o contato não for estabelecido em 72 horas, o valor do resgate aumentará. As vítimas podem testar a descriptografia de alguns arquivos gratuitamente antes de efetuar o pagamento.
A natureza do Pomochit Ransomware
Com base em extensas pesquisas sobre infecções por ransomware, geralmente é impossível desencriptar ficheiros sem o envolvimento dos invasores. No entanto, pagar o resgate não garante a recuperação dos dados, uma vez que os cibercriminosos muitas vezes não conseguem entregar as chaves de desencriptação ou software prometidos, apesar de receberem o pagamento. Portanto, é fortemente desaconselhável atender às exigências dos criminosos para evitar apoiar as suas atividades ilegais.
A remoção do ransomware Pomochit do sistema operacional impedirá maior criptografia de dados. Infelizmente, a remoção não restaurará os arquivos já comprometidos. A única solução é recuperá-los de um backup, caso um tenha sido criado previamente e esteja armazenado em outro lugar.
Estratégias de prevenção e backup
A melhor maneira de garantir a segurança dos dados é manter backups em vários locais separados, como servidores remotos, dispositivos de armazenamento desconectados e outros meios seguros.
OceanSpy, ZILLA, LostInfo e GameCrypt são algumas das mais novas variantes de ransomware. Estes programas operam de forma semelhante, encriptando ficheiros e exigindo pagamento pela desencriptação.
Métodos de distribuição de ransomware
Os cibercriminosos usam principalmente táticas de phishing e engenharia social para espalhar ransomware e outros malwares. O software malicioso é frequentemente disfarçado como programas ou mídia comuns. Alternativamente, o malware pode ser agregado a conteúdo normal.
Os ficheiros infecciosos vêm em vários formatos, como ficheiros (ZIP, RAR), executáveis (.exe, .run) e documentos (Microsoft Office, PDF). Quando um arquivo malicioso é executado, a cadeia de infecção começa.
Métodos de distribuição comuns
- Trojans do tipo backdoor/loader : programas maliciosos que fornecem acesso não autorizado ao sistema da vítima.
- Downloads drive-by : downloads furtivos ou enganosos iniciados sem o conhecimento do usuário.
- Anexos ou links maliciosos em e-mails de spam : e-mails de phishing contendo links ou anexos prejudiciais.
- Golpes on-line e malvertising : anúncios on-line enganosos ou sites fraudulentos que levam a downloads de malware.
- Canais de download não confiáveis : sites de freeware e de terceiros, redes de compartilhamento P2P, etc.
- Ferramentas ilegais de ativação de software ("cracks") : ferramentas não autorizadas usadas para ignorar a ativação de software.
- Atualizações Falsas : Atualizações falsas para software legítimo que entrega malware.
Ficar vigilante e manter práticas de segurança robustas é essencial no combate a ameaças de ransomware como o Pomochit. Backups regulares, manuseio cauteloso de e-mails e evitar downloads suspeitos podem reduzir significativamente o risco de infecção. Lembre-se de que é sempre melhor prevenir do que remediar quando se trata de segurança cibernética.
