De acordo com informações recentes, o ransomware GandCrab V4 está sendo distribuído na Web desde o último final de semana e traz diversas mudanças em comparação com as versões anteriores.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Ransomware GandCrab V4
Entre as mudanças no ransomware GandCrab V4 estão diferentes algoritmos de criptografia, nova extensão .KRAB para os arquivos criptografados, novo nome para o pedido de resgate e novo site TOR para pagamento.
É importante destacar que no momento não existem uma forma de desbloquear os arquivos sem pagar o resgate para os criminosos responsáveis pelo ransomware. A recomendação é que os usuários façam backups regularmente e não abram ou executem arquivos suspeitos.
O ransomware GandCrab V4 está sendo distribuído por sites que oferecem supostos cracks para programas. Quando o usuário baixa e executa o suposto crack, o ransomware é instalado.
Um exemplo de crack falso contendo o ransomware pode ser visto na imagem abaixo:
Outro detalhe sobre a versão 4 do ransomware GandCrab é que a Malwarebytes confirmou que ele agora utiliza o algoritmo de criptografia Salsa20.
Quando o ransomware é executado no computador da vítima, ele fará uma varredura em busca dos arquivos que serão criptografados em discos locais e drives de rede.
Os arquivos criptografados por ele receberão então a extensão .KRAB. Por exemplo, um arquivo foto.jpg será renomeado para foto.jpg.KRAB após o processo de criptografia ser concluído:
O pedido de resgate com o nome KRAB-DECRYPT.txt contém informações sobre o que aconteceu com os arquivos da vítima, o endereço para um site TOR (gandcrabmfe6mnef.onion) onde a vítima deve receber as instruções para o pagamento do resgate e informações necessárias para que os criminosos possam, recuperar sua chave de criptografia:
Se a vítima acessar o site TOR, ele verá o valor do resgate a ser pago e as instruções para pagamento:
No momento o preço do resgate é de US$ 1.200, que deve ser pago como a criptomoeda DASH (DSH):
O site também inclui uma área de suporte onde a vítima pode entrar em contato com os desenvolvedores do ransomware ou desbloquear um único arquivo gratuitamente como prova de que o desbloqueio é possível.
O post Ransomware GandCrab V4 já circula na Web apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br