Pesquisadores de segurança da equipe MalwareHunterTeam descobriram duas novas versões do ransomware Matrix. Ambas são instaladas via serviços de área de trabalho remota.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Novas versões do ransomware Matrix
Embora estas duas novas versões do versões do ransomware Matrix possam criptografar os arquivos do usuário, uma delas é um pouco mais avançada que a outra.
Estas duas versões do ransomware estão sendo distribuídas por criminosos usando uma técnica conhecida como “brute force” para descobrir as senhas utilizadas para os serviços de área de trabalho remota. De posse das senhas, os criminosos acessam os computadores e instalam o ransomware.
A primeira das duas novas versões do ransomware é identificada pela extensão [Files4463@tuta.io] e é menos avançada do que a outra. Quando esta versão está em execução, ela exibe as duas mensagens abaixo ao mesmo tempo para mostrar o status da infecção:
Uma janela é para as mensagens de status do processo de criptografia e a outra é para informações sobre drives de rede encontrados.
Quando os arquivos são criptografados por esta versão, eles recebem um nome composto por caracteres aleatórios e a extensão [Files4463@tuta.io]. Por exemplo, um arquivo foto.jpg recebe um nome como 0ytN5eEX-RKllfjug.[Files4463@tuta.io] após ser criptografado pelo ransomware.
Esta versão do ransomware Matrix também coloca o “pedido de resgate” com o nome !ReadMe_To_Decrypt_Files!.rtf em cada pasta verificada por ele:
Além disso, o ransomware altera o fundo da área de trabalho para exibir a mensagem abaixo:
Infelizmente ainda não é possível recuperar os arquivos criptografados por esta versão do ransomware usando ferramentas gratuitas.
A segunda versão do ransomware Matrix é identificada pelo uso da extensão [RestorFile@tutanota.com] nos arquivos criptografados.
Embora esta segunda versão opere de forma similar, ela é um pouco mais avançada que a outra com mensagens de status mais detalhadas e o uso de um comando para sobrescrever o espaço livre no computador do usuário depois que o processo de criptografia é concluído. Os endereços de contato para o pagamento do resgate também são diferentes.
Quando esta versão é executada, ela exibe as duas janelas abaixo para mostrar os status da infecção:
Quando os arquivos são criptografados por esta versão do ransomware Matrix, eles recebem um nome composto por caracteres aleatórios e a extensão [RestorFile@tutanota.com]. Um arquivo foto.jpg passa a se chamar 0ytN5eEX-RKllfjug.[RestorFile@tutanota.com], por exemplo.
O pedido de resgate #Decrypt_Files_ReadMe#.rtf é colocado em cada pasta verificada pelo ransomware e ele também altera o fundo da área de trabalho para exibir a mensagem abaixo:
Depois que esta versão do ransomware conclui o processo de criptografia, ela executa o comando “cipher.exe /w:c” para sobrescrever todo o espaço livre em disco. Isto impedirá o uso de ferramentas de recuperação pela vítima.
Infelizmente ainda não é possível recuperar os arquivos criptografados por esta versão do ransomware usando ferramentas gratuitas.
‘Pesquisadores alertam para duas novas versões do ransomware Matrix
O post Pesquisadores alertam para duas novas versões do ransomware Matrix apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br