Outra adição à família DJVU: Qual Ransomware
Table of Contents
O que é Qual Ransomware?
Qual Ransomware é uma variante de software malicioso identificada como parte da família Djvu ransomware. Qual Ransomware apresenta características típicas deste notório grupo de ameaças cibernéticas. Quando ativado, criptografa os arquivos da vítima, renomeando-os anexando uma extensão ".qual". Por exemplo, um arquivo originalmente denominado "picture.png" torna-se "picture.png.qual" e assim por diante. Após a conclusão do processo de criptografia, uma nota de resgate é colocada em um arquivo de texto chamado “_readme.txt”.
A nota de resgate e suas exigências
A nota de resgate deixada pelo Qual Ransomware informa às vítimas que os seus arquivos essenciais, incluindo bancos de dados, documentos e imagens, foram criptografados. Para recuperar os dados criptografados, as vítimas são instruídas a comprar um programa de descriptografia e uma chave dos invasores. As vítimas podem testar o processo de descriptografia enviando um único arquivo criptografado aos cibercriminosos. Os invasores exigem US$ 999 pelas ferramentas de descriptografia, mas se contatados dentro de 72 horas, o resgate é reduzido para US$ 499. A nota alerta explicitamente contra a busca de ajuda de terceiros.
Aqui está o texto da nota:
Como funcionam os programas ransomware
Programas de ransomware como o Qual visam principalmente extorquir dinheiro das vítimas, criptografando seus dados e exigindo um resgate pela sua liberação. Pertencente à família Djvu , o Qual Ransomware emprega cadeias de infecção em vários estágios para se infiltrar nos dispositivos. Ele usa vários códigos de shell antes da carga final, que é o estágio de criptografia de dados. Esses programas de ransomware também usam mecanismos como looping para estender seu tempo de execução e resolução dinâmica de API para acessar ferramentas críticas. Outra técnica, a esvaziamento de processos, permite que o malware se disfarce como um processo benigno, reduzindo as chances de detecção.
O desafio da descriptografia
Normalmente, é impossível descriptografar arquivos afetados por ransomware como o Qual sem a chave de descriptografia dos invasores. A desencriptação ocorre apenas em casos raros que envolvem programas de ransomware com falhas graves, sem a intervenção dos invasores. Mesmo assim, pagar o resgate não garante a recuperação dos arquivos, já que os cibercriminosos muitas vezes não fornecem as chaves de descriptografia ou software prometidos, mesmo após o pagamento ser efetuado. Os especialistas desaconselham fortemente o pagamento do resgate, pois apoia e incentiva a atividade criminosa.
Prevenindo mais danos
Para evitar mais criptografia de dados pelo Qual Ransomware, remover o malware do sistema operacional é crucial. No entanto, a remoção do ransomware não restaurará os arquivos já criptografados. A única solução disponível é recuperá-los a partir de um backup, desde que tenha sido feito antes da infecção e armazenado separadamente do sistema infectado. Manter backups em vários locais seguros, como servidores remotos ou dispositivos de armazenamento desconectados, é a prática recomendada para garantir a segurança dos dados.
Métodos comuns de distribuição de ransomware
Ransomware como o Qual se espalha principalmente por meio de técnicas de phishing e engenharia social. Muitas vezes, ele se disfarça ou vem junto com software legítimo ou arquivos de mídia. Esses arquivos vêm em vários formatos, incluindo arquivos (ZIP, RAR), executáveis (.exe, .run), documentos (PDF, Microsoft Office, Microsoft OneNote) e JavaScript. Os métodos de distribuição comuns incluem trojans backdoor ou do tipo carregador, downloads drive-by, anexos maliciosos ou links em e-mails de spam, malvertising, golpes online, canais de download duvidosos, ferramentas de ativação de software ilegal e atualizações falsas.
Vigilância e Práticas Seguras
Para se proteger contra ransomware, é essencial ter cuidado ao navegar online e ao lidar com e-mails e mensagens recebidas. E-mails suspeitos ou irrelevantes, especialmente aqueles com anexos ou links, devem ser evitados, pois podem ser prejudiciais ou infecciosos. Todos os descarregamentos devem ser realizados de fontes oficiais e verificadas, e os programas devem ser ativados e atualizados usando ferramentas legítimas. A aquisição de software de fontes de terceiros aumenta o risco de infecção por malware.
Pensamentos finais
Qual ransomware é uma ameaça significativa que destaca os perigos representados pela família de ransomware Djvu. Ele criptografa dados críticos e exige resgate, colocando as vítimas em uma posição difícil. No entanto, pagar o resgate não é aconselhável devido à falta de fiabilidade dos cibercriminosos. A prevenção por meio de vigilância, práticas de navegação segura e backups regulares armazenados em locais seguros é a melhor defesa contra essas ameaças de ransomware.
