Nova versão do ransomware Djvu já circula na Web
De acordo com informações recentes, uma nova versão do ransomware Djvu já está circulando na Web. Esta nova versão adiciona a extensão “.tro” aos arquivos criptografados.
A versão original adicionava a extensão “.djvu” aos arquivos.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.
Acesse o portal clicando aqui.
Nova versão do ransomware Djvu
Tanto a versão original como a nova do ransomware Djvu são distribuídas como “cracks” para programas populares. Ele também está sendo instalado por alguns programas contendo adware.
Quando o “crack” é executado pelo usuário, o instalador principal do ransomware será colocado em um local como %LocalAppData%[guid][nome-aleatório].exe e executado.
Em seguida ele fará o download dos seguintes arquivos para o mesmo local:
%LocalAppData%[guid]\1.exe
%LocalAppData%[guid]\2.exe
%LocalAppData%[guid]\3.exe
%LocalAppData%[guid]\updatewin.exe
O arquivo 1.exe executará vários comandos que removem as definições antivírus do Windows Defender e desabilitam outras funcionalidades do sistema operacional. Ele também executará um script do PowerShell chamado Script.ps1 para desabilitar a proteção em tempo real do Windows Defender com o comando abaixo:
Set-MpPreference -DisableRealtimeMonitoring $true
Em seguida o ransomware Djvu executará o arquivo 2.exe, que adicionará vários sites relacionados a segurança e sites de download ao arquivo HOSTS do Windows para impedir que as vítimas os acessem:
O arquivo 3.exe será então executado, mas ainda não se sabe exatamente o que ele faz.
Durante este processo, o ransomware gerará um número identificador único para o computador da vítima baseado no endereço MAC do adaptador de rede e se conectará ao servidor de comando e controle dos criminosos através da URL http://morgem.ru/test/get.php?pid=[ID-do-computador]. O servidor responderá ao contato com a chave de criptografia que será usada para criptografar os arquivos da vítima.
Terminada esta etapa, o ransomware Djvu iniciará o processo de criptografia dos arquivos ao mesmo tempo em que executa o arquivo updatewin.exe. Este arquivo exibirá a janela falsa do Windows Update mostrada abaixo para distrair a vítima enquanto seus arquivos são criptografados:
O ransomware criptografará quase todos os arquivos no computador, incluindo arquivos executáveis, e adicionará a extensão “.tro” como mostrado na imagem abaixo:
Por último, o ransomware criará uma tarefa agendada no Windows com o nome “Time Trigger Task”. Esta tarefa agendada executará o ransomware regularmente para criptografar novos arquivos criados pela vítima:
Enquanto os arquivos são criptografados, o ransomware Djvu incluirá o pedido de resgate com o nome _openme.txt nas pastas contendo os arquivos:
No momento não existe uma forma de recuperar os arquivos criptografados sem pagar o resgate para os criminosos.