Teza Ransomware bloqueia sistemas de vítimas

Ao examinar amostras de software malicioso, encontramos um tipo de ransomware chamado Teza. Este ransomware criptografa arquivos e modifica seus nomes anexando a extensão ".teza". Além disso, o Teza gera uma mensagem de resgate na forma de um arquivo de texto denominado "_readme.txt".

Para demonstrar como o Teza ajusta os nomes dos arquivos, ele altera nomes como "1.jpg" para "1.jpg.teza" e "2.png" para "2.png.teza". É importante observar que Teza é uma variante do grupo de ransomware Djvu. O ransomware Djvu é frequentemente distribuído junto com malware de roubo de dados, como RedLine ou Vidar.

A mensagem de resgate inclui instruções de agentes maliciosos e fornece dois endereços de e-mail (support@freshmail.top e datarestorehelp@airmail.cc). Aconselha as vítimas a entrar em contato com os hackers dentro de 72 horas para evitar uma taxa de resgate mais alta. O custo inicial para descriptografia é de US$ 490, mas a falta de resposta dentro do prazo especificado aumenta o resgate para US$ 980.

Além disso, a mensagem enfatiza que a recuperação dos ficheiros encriptados é impossível sem a obtenção do software de desencriptação e de uma chave exclusiva dos invasores. Além disso, a mensagem oferece a descriptografia gratuita de um arquivo, desde que o arquivo não contenha informações críticas ou valiosas.

Nota de resgate de Teza segue modelo antigo de Djvu

O texto completo da nota de resgate da Teza é o seguinte:

ATENÇÃO!

Não se preocupe, você pode devolver todos os seus arquivos!
Todos os seus arquivos, como fotos, bancos de dados, documentos e outros itens importantes, são criptografados com criptografia mais forte e chave exclusiva.
O único método de recuperação de arquivos é adquirir uma ferramenta de descriptografia e uma chave exclusiva para você.
Este software irá descriptografar todos os seus arquivos criptografados.
Que garantias você tem?
Você pode enviar um dos seus arquivos criptografados do seu PC e nós o descriptografamos gratuitamente.
Mas podemos descriptografar apenas 1 arquivo gratuitamente. O arquivo não deve conter informações valiosas.
Você pode obter e ver a ferramenta de descriptografia de visão geral do vídeo:
hxxps://we.tl/t-E4b0Td2MBH
O preço da chave privada e do software de descriptografia é de US$ 980.
Desconto de 50% disponível se você entrar em contato conosco nas primeiras 72 horas, o preço para você é de $ 490.
Observe que você nunca restaurará seus dados sem pagamento.
Verifique a pasta "Spam" ou "Lixo" do seu e-mail se não obtiver resposta por mais de 6 horas.

Para obter este software você precisa escrever em nosso e-mail:
suporte@freshmail.top

Reserve o endereço de e-mail para entrar em contato conosco:
datarestorehelp@airmail.cc

Sua identificação pessoal:

Como um ransomware como o Teza pode infectar seu sistema?

Ransomware como o Teza pode infectar seu sistema por meio de vários métodos, baseando-se principalmente na exploração de vulnerabilidades, engenharia social e anexos ou links maliciosos. Aqui estão algumas maneiras comuns pelas quais o ransomware pode infectar seu sistema:

E-mails de phishing: os cibercriminosos costumam enviar e-mails de aparência convincente que contêm anexos ou links maliciosos. Esses e-mails podem parecer vir de uma fonte confiável, como uma empresa legítima ou um amigo, e incentivam você a clicar em um link ou baixar um anexo. Depois de interagir com esses elementos, a carga do ransomware pode ser executada em seu sistema.

Sites e downloads maliciosos: visitar sites comprometidos ou maliciosos, especialmente aqueles que hospedam conteúdo ilegal ou software crackeado, pode levar ao download automático e à execução de ransomware em seu sistema.

Kits de exploração: kits de exploração são kits de ferramentas que visam vulnerabilidades de software em seu computador. Se o seu sistema não estiver atualizado com os patches de segurança mais recentes, o ransomware poderá explorar essas vulnerabilidades para obter acesso e executar sua carga.

Malvertising: Anúncios maliciosos, ou malvertisements, podem ser encontrados em sites legítimos e podem fornecer ransomware quando clicados. Esses anúncios podem redirecioná-lo para sites maliciosos que exploram vulnerabilidades em seu sistema.

Downloads drive-by: ocorrem quando o ransomware é baixado e executado automaticamente quando você visita um site comprometido. Você pode nem perceber que algo aconteceu até que seja tarde demais.

Engenharia social: os cibercriminosos podem enganar os usuários para que baixem e executem ransomware manualmente. Isso pode envolver táticas enganosas, como se passar por pessoal de suporte técnico que instrui os usuários a baixar uma suposta atualização de software que é, na verdade, ransomware.

Anexos maliciosos: o ransomware pode ser distribuído por meio de anexos de e-mail que parecem legítimos, mas contêm código malicioso. Abrir esses anexos pode acionar a carga do ransomware.