NOTÍCIAS

[ANONYMOUS][grids]

Hackers Estão Espalhando Ransomware via SMS para seu contato e Criptogafando seus arquivos do dispositivo



Uma nova família no Android Ransomware apelidada de Android / Filecoder.C distribuiu vários fóruns online e ainda usa a lista de contatos da vítima para SMS com um link malicioso.
O ESET detectou a atividade de ransomware desde 12 de julho de 2019, “Devido à estreita segmentação e falhas na execução da campanha e na implementação de sua criptografia, o impacto desse novo ransomware é limitado”.

Distribuição do Android Ransomware

O ransomware distribuído em dois métodos, através de fóruns on-line e mensagens SMS. Os agentes de ameaça postam ou comentam os links de download do ransomware nos fóruns Reddit ou XDA Developers.
Para atrair a vítima, os atores da ameaça postam os códigos relacionados a pornografia ou relacionados a tecnologia ou QR que estão vinculados aos aplicativos maliciosos. Os atacantes também escondem o link usando encurtadores de URL, o bit compartilhado no Reddit mostra que ele recebeu 59 cliques até agora de diferentes países e link criado em 11 de junho de 2019.

Além disso, o ransomware se espalha por mensagem, se infectar um dispositivo, então procura pela lista de contatos da vítima e espalha os links maliciosos para todos os contatos.

Infecção de dispositivos

Ao clicar no link do SMS, ele baixa o arquivo malicioso e a necessidade da vítima de instalar o aplicativo, uma vez instalado “exibe o que é prometido nos posts que o distribuem, mas tem como objetivo a comunicação C & C, espalhando mensagens maliciosas e implementando o mecanismo de criptografia / descriptografia ”, lê o relatório da ESET .


42 idiomas, endereços C & C e Bitcoin codificados permanentemente no ransomware, antes de criptografar o dispositivo, ele distribui os links para todos os arquivos da vítima, depois o armazenamento de arquivos de acesso ao ransomware para iniciar o processo de criptografia.

Pesquisadores observaram que os “arquivos ainda podem ser recuperados, devido à criptografia defeituosa. Além disso, de acordo com nossa análise, não há nada no código do ransomware para apoiar a alegação de que os dados afetados serão perdidos após 72 horas ”.
Ele criptografa os seguintes tipos de arquivo
".Doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".pst", ".ost", ".msg", 
".eml", “.Vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”,  “.pdf”, “.dwg”, “.Onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”,  “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.Xls”, “.xlw”, “.xlt”, “.xlm”,  “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.Ppsm”, “.ppsx”,  “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”,  “.Sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”,  “.ARC”, “.PAQ”, “.Bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”,  “.rar”, “.zip”, “.backup”, “.Iso”, “.vcd”, “.bmp”, “.png”, “.gif”,  “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, ".Psd", ".Ai", ".svg", ".djvu", “.M4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”,  “.mp4”, “.mov”, “.Avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”,  “.fla”, “.swf”, “.wav”, “.mp3”, “.Sh”, “.class”, “.jar”, ​​“.java”, “.rb”,  “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.Dch”, “.dip”, “.pl”, “.vb”,  “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.H”, “.pas”, “.cpp”,  “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.Myi”, “.myd”,  “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”,  “.sqlitedb”, “.Sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”,  “.otg”, “.odg”, “.uop”, “.std”, “.Sxd”, “.otp”, “.odp”, “.wb2”,  “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, ".3dm", ".max", “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”,  “.csr”, “.crt”, ".Key", ".pfx", ".der"
Esse ransomware não bloqueia a tela como outro ransomware e não criptografa os seguintes diretórios: “.cache”, “tmp” ou “temp” e “.zip” ou “.rar” acima de 50 MB e “.jpeg” , ".Jpg" e ".png" arquivo inferior a 150kb. Depois que a criptografia de arquivo é concluída, ela anexa a extensão .seven ao arquivo e solicita que os usuários paguem resgate para desbloquear os arquivos.
Mas, segundo os pesquisadores da ESET, os arquivos podem ser descriptografados sem pagar o resgate ”, seria possível descriptografar arquivos sem pagar o resgate, alterando o algoritmo de criptografia para um algoritmo de descriptografia. Tudo o que é necessário é o UserID (consulte a Figura 13) fornecido pelo ransomware e o arquivo APK do ransomware, caso seus autores alterem o valor da chave codificada. Até agora, vimos o mesmo valor em todas as amostras do ransomware Android / Filecoder.C ”.