16 jan

Nova versão do ransomware Djvu já circula na Web

De acordo com informações recentes, uma nova versão do ransomware Djvu já está circulando na Web. Esta nova versão adiciona a extensão “.tro” aos arquivos criptografados.

A versão original adicionava a extensão “.djvu” aos arquivos.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.

Acesse o portal clicando aqui.

Nova versão do ransomware Djvu

Tanto a versão original como a nova do ransomware Djvu são distribuídas como “cracks” para programas populares. Ele também está sendo instalado por alguns programas contendo adware.

Quando o “crack” é executado pelo usuário, o instalador principal do ransomware será colocado em um local como %LocalAppData%[guid][nome-aleatório].exe e executado.

Em seguida ele fará o download dos seguintes arquivos para o mesmo local:

%LocalAppData%[guid]\1.exe
%LocalAppData%[guid]\2.exe
%LocalAppData%[guid]\3.exe
%LocalAppData%[guid]\updatewin.exe

O arquivo 1.exe executará vários comandos que removem as definições antivírus do Windows Defender e desabilitam outras funcionalidades do sistema operacional. Ele também executará um script do PowerShell chamado Script.ps1 para desabilitar a proteção em tempo real do Windows Defender com o comando abaixo:

Set-MpPreference -DisableRealtimeMonitoring $true

Em seguida o ransomware Djvu executará o arquivo 2.exe, que adicionará vários sites relacionados a segurança e sites de download ao arquivo HOSTS do Windows para impedir que as vítimas os acessem:

O arquivo 3.exe será então executado, mas ainda não se sabe exatamente o que ele faz.

Durante este processo, o ransomware gerará um número identificador único para o computador da vítima baseado no endereço MAC do adaptador de rede e se conectará ao servidor de comando e controle dos criminosos através da URL http://morgem.ru/test/get.php?pid=[ID-do-computador]. O servidor responderá ao contato com a chave de criptografia que será usada para criptografar os arquivos da vítima.

Terminada esta etapa, o ransomware Djvu iniciará o processo de criptografia dos arquivos ao mesmo tempo em que executa o arquivo updatewin.exe. Este arquivo exibirá a janela falsa do Windows Update mostrada abaixo para distrair a vítima enquanto seus arquivos são criptografados:

O ransomware criptografará quase todos os arquivos no computador, incluindo arquivos executáveis, e adicionará a extensão “.tro” como mostrado na imagem abaixo:

Por último, o ransomware criará uma tarefa agendada no Windows com o nome “Time Trigger Task”. Esta tarefa agendada executará o ransomware regularmente para criptografar novos arquivos criados pela vítima:

Enquanto os arquivos são criptografados, o ransomware Djvu incluirá o pedido de resgate com o nome _openme.txt nas pastas contendo os arquivos:

No momento não existe uma forma de recuperar os arquivos criptografados sem pagar o resgate para os criminosos.