ReadText Ransomware criptografará suas unidades

Nossa equipe de pesquisa encontrou o ransomware ReadText durante o exame de novos envios. Este software malicioso pertence à família de ransomware MedusaLocker.

ReadText funciona de maneira típica de ransomware. Ele criptografou os arquivos em nossa máquina de teste, adicionando uma extensão “.readtext4” aos nomes dos arquivos originais. O número específico usado na geração de extensões finas pode variar dependendo da variante do ransomware. Por exemplo, um arquivo originalmente chamado “1.jpg” seria transformado em “1.jpg.readtext4” e “2.png” em “2.png.readtext4” e assim por diante.

Posteriormente, depositou uma mensagem de resgate chamada “How_to_back_files.html”. A partir desta mensagem, fica evidente que o ReadText tem como alvo as empresas e emprega táticas de dupla extorsão.

A nota associada ao ransomware ReadText afirma que a rede corporativa da vítima foi comprometida. Arquivos críticos foram criptografados e dados confidenciais ou pessoais foram roubados.

A mensagem desaconselha a alteração dos nomes dos ficheiros encriptados ou a tentativa de recuperação usando ferramentas de desencriptação de terceiros, pois tais ações tornariam os dados irrecuperáveis.

A vítima é informada da necessidade de pagar um resgate. O não cumprimento resultará no vazamento ou venda dos dados exfiltrados. Além disso, atrasar o contato por mais de 72 horas aumentará o valor do resgate. Antes de efetuar o pagamento, a vítima tem a opção de testar o processo de descriptografia, enviando aos invasores dois a três arquivos criptografados.

Nota de resgate ReadText ameaça vazamento de dados

O texto completo da nota de resgate ReadText é o seguinte:

SUA IDENTIFICAÇÃO PESSOAL:

A REDE DA SUA EMPRESA FOI PENETRADA
Todos os seus arquivos importantes foram criptografados!

Seus arquivos estão seguros! Apenas modificado. (RSA+AES)

QUALQUER TENTATIVA DE RESTAURAR SEUS ARQUIVOS COM SOFTWARE DE TERCEIROS
IRÁ corrompê-lo permanentemente.
NÃO MODIFIQUE ARQUIVOS CRIPTOGRAFADOS.
NÃO RENOMEIE ARQUIVOS CRIPTOGRAFADOS.

Nenhum software disponível na internet pode ajudá-lo. Somos os únicos capazes de
resolva seu problema.

Coletamos dados altamente confidenciais/pessoais. Esses dados estão atualmente armazenados em
um servidor privado. Este servidor será destruído imediatamente após o seu pagamento.
Se você decidir não pagar, divulgaremos seus dados ao público ou ao revendedor.
Portanto, você pode esperar que seus dados estejam disponíveis publicamente em um futuro próximo.

Buscamos apenas dinheiro e nosso objetivo não é prejudicar sua reputação ou impedir
seu negócio de funcionar.

Você poderá nos enviar de 2 a 3 arquivos não importantes e nós os descriptografaremos gratuitamente
para provar que somos capazes de devolver seus arquivos.

Contate-nos para saber o preço e obtenha o software de descriptografia.

e-mail:
ithelp15@securitymeu.nome
ithelp15@yousheltered.com

Para entrar em contato conosco, crie uma nova conta de e-mail gratuita no site: protonmail.com
SE VOCÊ NÃO ENTRAR EM CONTATO CONOSCO DENTRO DE 72 HORAS, O PREÇO SERÁ MAIS ALTO.

Tor-chat para estar sempre em contato:

Como o ransomware é distribuído online?

O ransomware é distribuído online através de vários métodos, muitas vezes explorando vulnerabilidades em software, técnicas de engenharia social e anexos ou links maliciosos. Aqui estão algumas maneiras comuns pelas quais o ransomware é distribuído:

E-mails de phishing:
E-mails de phishing são um método predominante de disseminação de ransomware. Os invasores enviam e-mails enganosos que parecem ser de fontes legítimas, como bancos, agências governamentais ou organizações confiáveis. Esses e-mails contêm anexos ou links maliciosos que, quando clicados ou abertos, baixam e executam ransomware no computador da vítima.

Malvertising:
A malvertising envolve cibercriminosos que colocam anúncios maliciosos em sites legítimos. Quando um usuário clica nesses anúncios, ele pode, sem saber, acionar o download de ransomware ou ser redirecionado para um site que hospeda kits de exploração, que então entregam a carga útil do ransomware.

Downloads drive-by:
Os downloads drive-by ocorrem quando um usuário visita um site comprometido ou malicioso. Em alguns casos, o site explora vulnerabilidades no navegador ou plug-ins do usuário para baixar e instalar ransomware automaticamente no sistema do visitante, sem qualquer interação do usuário.

Kits de exploração:
Os kits de exploração são kits de ferramentas usados pelos invasores para identificar e explorar vulnerabilidades no software da vítima. Quando um usuário visita um site comprometido ou clica em um link malicioso, o kit de exploração verifica vulnerabilidades e entrega a carga do ransomware se uma vulnerabilidade for encontrada.

Ataques de protocolo de área de trabalho remota (RDP):
Os invasores têm como alvo portas RDP expostas e tentam obter acesso não autorizado ao computador ou rede da vítima. Uma vez lá dentro, eles implantam ransomware diretamente no sistema.

Anexos maliciosos:
O ransomware pode ser espalhado através de anexos de e-mail, muitas vezes disfarçados como arquivos inofensivos, como PDFs, documentos do Word ou arquivos ZIP. Quando esses anexos são abertos, eles executam scripts ou macros maliciosos que iniciam o download do ransomware.