Whole Ransomware ameaça vazamento de dados

Durante nossa investigação de amostras de malware recém-enviadas, nossos pesquisadores encontraram um programa de ransomware chamado “Whole”. Determinamos que ele é derivado do ransomware Keylock. Este software malicioso criptografa dados e exige resgates em troca de descriptografá-los.

Em nossos testes, o ransomware "Whole" criptografou arquivos e adicionou uma extensão ".whole" aos seus nomes de arquivo. Por exemplo, um arquivo originalmente chamado “1.jpg” seria exibido como “1.jpg.whole” e “2.png” como “2.png.whole”.

Assim que o processo de encriptação foi concluído, o papel de parede da área de trabalho foi alterado e uma nota de resgate intitulada "README-ID-[victim's_ID].txt" foi gerada. A partir do conteúdo desta nota, é evidente que este ransomware visa principalmente empresas, e não usuários individuais.

A mensagem exibida no papel de parede "Inteiro" instrui a vítima a ler o arquivo de texto associado ("README-ID-[victim's_ID].txt"). Esta nota de resgate explica que os arquivos da vítima foram criptografados e garante que sua chave de descriptografia exclusiva está armazenada com segurança nos servidores dos invasores.

A recuperação pode ser testada gratuitamente, enviando alguns arquivos criptografados aos cibercriminosos (dentro de certas diretrizes). Se a vítima não tentar entrar em contato com os invasores dentro de três dias, seus dados comerciais confidenciais poderão ser expostos ou vendidos.

A mensagem também inclui avisos, informando à vítima que renomear ou alterar os arquivos afetados, bem como usar ferramentas de recuperação de terceiros ou software antivírus, pode tornar os dados irrecuperáveis.

Whole Ransomware descarta uma longa nota

O texto completo da nota de resgate completa é o seguinte:

SEUS ARQUIVOS ESTÃO CRIPTOGRAFADOS

Seus arquivos foram criptografados com algoritmos de criptografia fortes e modificados!
Não se preocupe, sua chave de criptografia exclusiva é armazenada com segurança em nosso servidor e seus dados podem ser descriptografados de forma rápida e segura.

Podemos provar que podemos descriptografar todos os seus dados. Por favor, envie-nos apenas 3 arquivos criptografados pequenos e não importantes (~ 2 MB), que são armazenados aleatoriamente em seu servidor. Anexe também este arquivo README-ID-.txt deixado por nós em todas as pastas.
Iremos descriptografar esses arquivos e enviá-los a você como prova. Observe que os arquivos para descriptografia de teste gratuito não devem conter informações valiosas.

Se você não iniciar um diálogo conosco em 72 horas, seremos forçados a publicar seus arquivos em domínio público. Seus clientes e parceiros serão informados sobre o vazamento de dados.
Dessa forma, sua reputação ficará arruinada. Se você não reagir, seremos forçados a vender as informações mais importantes, como bancos de dados e dados pessoais, às partes interessadas para gerar algum lucro.

Se você quiser resolver esta situação, anexe em carta este arquivo README-ID-.txt e escreva para TODOS estes 2 endereços de e-mail:

pmmx@techmail.info
wholekey@mailfence.com

IMPORTANTE!
Recomendamos que você entre em contato conosco diretamente para evitar pagamentos excessivos aos agentes.
Solicitamos o envio de sua mensagem para TODOS os nossos 2 endereços de e-mail porque, por diversos motivos, seu e-mail pode não ser entregue.
Nossa mensagem pode ser reconhecida como spam, portanto verifique a pasta de spam.
Se não respondermos dentro de 24 horas, escreva-nos de outro endereço de e-mail.
Por favor, não perca tempo, isso resultará apenas em danos adicionais à sua empresa.
Por favor, não renomeie e tente descriptografar os arquivos sozinho. Não poderemos ajudá-lo se os arquivos forem modificados.
Se você tentar usar qualquer software de terceiros para restaurar seus dados ou soluções antivírus, faça um backup de todos os arquivos criptografados.
Se você excluir algum arquivo criptografado do computador atual, talvez não consiga descriptografá-lo.

Como o ransomware pode entrar no seu sistema?

O ransomware pode se infiltrar no seu sistema por vários meios, e compreender esses pontos de entrada é crucial para proteger o seu sistema contra tais ataques. Aqui estão algumas maneiras comuns pelas quais o ransomware pode entrar no seu sistema:

• Anexos de e-mail: e-mails de phishing são um método predominante de distribuição de ransomware. Os cibercriminosos enviam e-mails aparentemente legítimos com anexos infectados (por exemplo, PDFs, documentos do Word ou arquivos ZIP) ou links para sites maliciosos. Quando os usuários abrem esses anexos ou clicam nos links, o ransomware é baixado e executado em seus sistemas.
• Links maliciosos: o ransomware também pode ser entregue por meio de links enganosos ou maliciosos em e-mails, mensagens instantâneas ou em sites. Clicar nesses links pode levar ao download e execução de ransomware.
• Malvertising: os cibercriminosos podem usar anúncios maliciosos (malvertisements) em sites legítimos para entregar ransomware. A simples visita a um site comprometido com esses anúncios pode acionar o download automático do malware.
• Explorando vulnerabilidades: Os autores de ransomware podem explorar vulnerabilidades de software em seu sistema operacional ou aplicativos. Se o seu sistema não estiver atualizado com patches de segurança, ele poderá ficar vulnerável a ataques baseados em exploração.
• Downloads drive-by: O ransomware pode ser entregue por meio de “downloads drive-by”, onde os usuários baixam, sem saber, código malicioso enquanto visitam sites comprometidos ou maliciosos. Esses downloads podem ocorrer sem qualquer interação ou consentimento do usuário.
• Ataques de protocolo de área de trabalho remota (RDP): os invasores podem explorar credenciais RDP fracas ou padrão para obter acesso a sistemas remotos. Uma vez lá dentro, eles podem instalar ransomware e criptografar arquivos.
• Downloads de software: baixar software ou arquivos de fontes não confiáveis ou pirateadas pode expor seu sistema a ransomware. Software ilegítimo ou versões crackeadas geralmente vêm com cargas de malware ocultas.