Reload Ransomware é baseado em Makop

Em nossa análise do malware Reload, determinamos que ele pertence à família Makop e funciona como ransomware, projetado principalmente para criptografia de arquivos. Além de criptografar dados, o Reload também deixa cair uma nota de resgate, chamada "+README-WARNING+.txt" e modifica os nomes dos arquivos.

Reload adiciona uma sequência de caracteres aleatórios, provavelmente o ID da vítima, um endereço de e-mail e a extensão “.reload” aos nomes dos arquivos originais. Por exemplo, ele transforma "1.jpg" em "1.jpg.[2AF20FA3].[reload2024@outlook.com].reload" e "2.png" em "2.png.[2AF20FA3].[reload2024@@ outlook.com].reload" e assim por diante.

A nota de resgate começa com uma declaração clara indicando que todos os ficheiros foram encriptados e agora carregam a extensão ".reload". Ressalta a urgência de contatar prontamente os invasores para evitar que os arquivos criptografados sejam publicados na Internet. A nota fornece o endereço de e-mail reload2024@outlook.com para fins de comunicação.

Além disso, a nota apresenta uma ameaça de perda permanente de ficheiros se as vítimas não conseguirem contactar diretamente os atacantes para a recuperação de ficheiros, desencorajando explicitamente a utilização de empresas intermediárias ou programas baseados na Internet para esforços de recuperação.

Recarregar nota de resgate completa

O texto completo da nota de resgate gerada pelo Reload é o seguinte:

Your files are encrypted and stolen, all encrypted files have the extension .reload

To restore your files so that they are not published on the Internet, you need to contact us as soon as possible!

Our contact email address: reload2024@outlook.com

Your files may be published on the Internet if you ignore this message.

You will lose your files if you do not write to us to recover your files!

You will lose your files forever if you use intermediary companies and programs from the Internet to recover your files!

Como o Ransomware Like Reload é distribuído online?

O Reload, como muitas variantes de ransomware, normalmente é distribuído online por meio de vários métodos destinados a explorar vulnerabilidades ou enganar os usuários para que baixem e executem conteúdo malicioso. Aqui estão métodos comuns de distribuição para ransomware como Reload:

E-mails de phishing: os cibercriminosos costumam usar e-mails de phishing para entregar ransomware. Esses e-mails podem parecer legítimos e conter anexos ou links maliciosos. No caso do Reload, os usuários podem ser induzidos a abrir um anexo, como um documento ou arquivo aparentemente inócuo, o que aciona o processo de instalação do malware.

Sites maliciosos: visitar sites comprometidos ou maliciosos pode levar ao download e instalação não intencional de ransomware. Os cibercriminosos podem explorar vulnerabilidades em navegadores ou plug-ins para entregar a carga maliciosa.

Kits de exploração: os invasores cibernéticos podem usar kits de exploração para atingir vulnerabilidades conhecidas em software, sistemas operacionais ou navegadores. Quando um usuário visita um site comprometido, o kit de exploração verifica vulnerabilidades e entrega a carga do ransomware se uma vulnerabilidade adequada for encontrada.

Downloads drive-by: baixar involuntariamente conteúdo malicioso enquanto visita sites, geralmente por meio de pop-ups ou downloads automáticos, pode resultar na instalação de ransomware. Os usuários podem não estar cientes desses downloads, facilitando a infiltração do malware no sistema.

Anúncios maliciosos (Malvertising): os cibercriminosos podem usar anúncios online para distribuir ransomware. Clicar em um anúncio infectado pode redirecionar os usuários para um site que hospeda o malware ou acionar um download automático.

Software comprometido: os invasores podem comprometer instaladores ou atualizações de software legítimos, injetando ransomware neles antes que os usuários baixem e instalem o software aparentemente autêntico.