NetWorld - Blog

Uma nova versão do ransomware CryptoMix detectada recentemente adiciona a extensão DLL aos arquivos criptografados. O ransomware se propaga via Remote Desktop Protocol.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.

Acesse o portal clicando aqui.

Nova versão do ransomware CryptoMix

O primeiro relato sobre a nova versão do ransomware CryptoMix foi encontrado em um fórum, onde o usuário disse que teve seu PC infectado via RDP, que estava com as portas expostas.

O ransomware também habilitou a conta de Administrador no PC da vítima e mudou sua senha.

Esta nova versão do ransomware CryptoMix cria o pedido de resgate com o nome HELP_INSTRUCTIONS.TXT, o mesmo usado pelas versões anteriores.

A diferença é que ele agora inclui os endereços de email dllteam@protonmail.com, dllteam1@protonmail.com, dllpc@mail.com, dllpc@tuta.io, laremohan@tuta.io, claremohan@yandex.com e mohanclare@yandex.com que a vítima pode usar para entrar em contato com os criminosos e receber as instruções para pagamento:

Com esta nova versão do ransomware, os arquivos criptografados têm seu nome modificado e recebem a extensão .DLL. Por exemplo, um arquivo criptografado por ele recebe um nome como 2DC998403F8EAAA90140B64040318E5D.DLL:

É importante destacar que no momento não existe uma forma de recuperar os arquivos criptografados sem pagar o resgate aos criminosos.