Vehu Ransomware bloqueia sistemas infectados

Identificamos o ransomware Vehu durante nossa análise de novas amostras de malware. Nossa investigação revelou que Vehu faz parte da família de ransomware Djvu. Ele criptografa arquivos e anexa a extensão ".vehu" aos nomes dos arquivos, além de apresentar uma nota de resgate chamada "_README.txt". É importante observar que o ransomware Djvu é frequentemente distribuído juntamente com RedLine, Vidar ou software malicioso semelhante.

Por exemplo, Vehu altera nomes de arquivos adicionando ".vehu" a eles, renomeando "1.jpg" para "1.jpg.vehu" e "2.png" para "2.png.vehu" e assim por diante.

A nota de resgate afirma que todos os arquivos, incluindo imagens, bancos de dados e documentos, são criptografados usando criptografia forte. Para recuperar o acesso aos arquivos, a vítima deve adquirir uma ferramenta e uma chave de descriptografia. A ferramenta de descriptografia custa US$ 999, mas se a vítima entrar em contato com os invasores no espaço de 72 horas, ela pode ser adquirida por US$ 499.

As instruções orientam a vítima a enviar um e-mail para support@freshingmail.top ou datarestorehelpyou@airmail.cc. Avisa que os arquivos não serão restaurados sem pagamento. Além disso, a nota menciona que a vítima pode enviar um arquivo criptografado aos invasores e recebê-lo descriptografado como demonstração, desde que o arquivo não contenha informações valiosas.

Vehu usa nota de resgate Djvu padronizada

O texto completo da nota de resgate de Vehu é o seguinte:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Como o ransomware pode infectar seu sistema?

O ransomware pode infectar seu sistema por meio de vários métodos, muitas vezes explorando vulnerabilidades ou contando com táticas de engenharia social. Aqui estão algumas maneiras comuns pelas quais o ransomware pode se infiltrar em seu sistema:

E-mails de phishing: um dos métodos mais comuns é por meio de e-mails de phishing. Os invasores enviam e-mails enganosos que parecem legítimos, geralmente com anexos ou links. Clicar nesses links ou baixar anexos pode baixar e executar ransomware em seu sistema.

Links maliciosos: os cibercriminosos também podem distribuir ransomware por meio de links maliciosos em sites, plataformas de mídia social ou aplicativos de mensagens instantâneas. Clicar nesses links pode levar ao download e instalação de ransomware.

Kits de exploração: O ransomware pode explorar vulnerabilidades em software ou sistemas operacionais usando kits de exploração. Esses kits são ferramentas automatizadas usadas por invasores para identificar e explorar pontos fracos de software para distribuir malware, incluindo ransomware.

Ataques de protocolo de área de trabalho remota (RDP): os invasores podem tentar obter acesso não autorizado a sistemas com credenciais fracas ou padrão de protocolo de área de trabalho remota (RDP). Uma vez lá dentro, eles podem implantar ransomware diretamente no sistema comprometido.

Downloads drive-by: O ransomware pode ser baixado e instalado silenciosamente quando você visita sites comprometidos ou maliciosos. Este método geralmente explora vulnerabilidades em seu navegador ou plug-ins.

Malvertising: os invasores usam anúncios maliciosos (malvertising) em sites legítimos para entregar ransomware. Clicar nesses anúncios ou até mesmo visualizá-los às vezes pode desencadear o download e a execução de ransomware.

Vulnerabilidades de software: explorar vulnerabilidades de software não corrigidas ou desatualizadas é outra maneira pela qual o ransomware pode se infiltrar nos sistemas. Se você não conseguir instalar as atualizações de segurança, seu sistema ficará vulnerável à exploração por ransomware e outros malwares.