Hackers Estão Espalhando Ransomware via SMS para seu contato e Criptogafando seus arquivos do dispositivo - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers Estão Espalhando Ransomware via SMS para seu contato e Criptogafando seus arquivos do dispositivo



Uma nova família no Android Ransomware apelidada de Android / Filecoder.C distribuiu vários fóruns online e ainda usa a lista de contatos da vítima para SMS com um link malicioso.
O ESET detectou a atividade de ransomware desde 12 de julho de 2019, “Devido à estreita segmentação e falhas na execução da campanha e na implementação de sua criptografia, o impacto desse novo ransomware é limitado”.

Distribuição do Android Ransomware

O ransomware distribuído em dois métodos, através de fóruns on-line e mensagens SMS. Os agentes de ameaça postam ou comentam os links de download do ransomware nos fóruns Reddit ou XDA Developers.
Para atrair a vítima, os atores da ameaça postam os códigos relacionados a pornografia ou relacionados a tecnologia ou QR que estão vinculados aos aplicativos maliciosos. Os atacantes também escondem o link usando encurtadores de URL, o bit compartilhado no Reddit mostra que ele recebeu 59 cliques até agora de diferentes países e link criado em 11 de junho de 2019.

Além disso, o ransomware se espalha por mensagem, se infectar um dispositivo, então procura pela lista de contatos da vítima e espalha os links maliciosos para todos os contatos.

Infecção de dispositivos

Ao clicar no link do SMS, ele baixa o arquivo malicioso e a necessidade da vítima de instalar o aplicativo, uma vez instalado “exibe o que é prometido nos posts que o distribuem, mas tem como objetivo a comunicação C & C, espalhando mensagens maliciosas e implementando o mecanismo de criptografia / descriptografia ”, lê o relatório da ESET .


42 idiomas, endereços C & C e Bitcoin codificados permanentemente no ransomware, antes de criptografar o dispositivo, ele distribui os links para todos os arquivos da vítima, depois o armazenamento de arquivos de acesso ao ransomware para iniciar o processo de criptografia.

Pesquisadores observaram que os “arquivos ainda podem ser recuperados, devido à criptografia defeituosa. Além disso, de acordo com nossa análise, não há nada no código do ransomware para apoiar a alegação de que os dados afetados serão perdidos após 72 horas ”.
Ele criptografa os seguintes tipos de arquivo
".Doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".pst", ".ost", ".msg", 
".eml", “.Vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”,  “.pdf”, “.dwg”, “.Onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”,  “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.Xls”, “.xlw”, “.xlt”, “.xlm”,  “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.Ppsm”, “.ppsx”,  “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”,  “.Sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”,  “.ARC”, “.PAQ”, “.Bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”,  “.rar”, “.zip”, “.backup”, “.Iso”, “.vcd”, “.bmp”, “.png”, “.gif”,  “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, ".Psd", ".Ai", ".svg", ".djvu", “.M4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”,  “.mp4”, “.mov”, “.Avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”,  “.fla”, “.swf”, “.wav”, “.mp3”, “.Sh”, “.class”, “.jar”, ​​“.java”, “.rb”,  “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.Dch”, “.dip”, “.pl”, “.vb”,  “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.H”, “.pas”, “.cpp”,  “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.Myi”, “.myd”,  “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”,  “.sqlitedb”, “.Sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”,  “.otg”, “.odg”, “.uop”, “.std”, “.Sxd”, “.otp”, “.odp”, “.wb2”,  “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, ".3dm", ".max", “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”,  “.csr”, “.crt”, ".Key", ".pfx", ".der"
Esse ransomware não bloqueia a tela como outro ransomware e não criptografa os seguintes diretórios: “.cache”, “tmp” ou “temp” e “.zip” ou “.rar” acima de 50 MB e “.jpeg” , ".Jpg" e ".png" arquivo inferior a 150kb. Depois que a criptografia de arquivo é concluída, ela anexa a extensão .seven ao arquivo e solicita que os usuários paguem resgate para desbloquear os arquivos.
Mas, segundo os pesquisadores da ESET, os arquivos podem ser descriptografados sem pagar o resgate ”, seria possível descriptografar arquivos sem pagar o resgate, alterando o algoritmo de criptografia para um algoritmo de descriptografia. Tudo o que é necessário é o UserID (consulte a Figura 13) fornecido pelo ransomware e o arquivo APK do ransomware, caso seus autores alterem o valor da chave codificada. Até agora, vimos o mesmo valor em todas as amostras do ransomware Android / Filecoder.C ”.


Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search