Pesquisadores alertam para nova versão do ransomware Ryuk

Pesquisadores de segurança alertaram recentemente para uma nova versão do ransomware Ryuk. Um detalhe que chama a atenção é que ele verifica o IP e o computador usando um alista interna antes de determinar se os arquivos serão ou não criptografados.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou a certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.

Acesse o portal clicando aqui.

Pesquisadores alertam para nova versão do ransomware Ryuk

A nova versão do ransomware Ryuk foi descoberta nesta semana pelo pesquisador MalwareHunterTeam, que notou que ele possui uma assinatura digital.

A nova versão também foi examinada pelo pesquisador de segurança Vitali Kremez, que percebeu algumas mudanças que não existiam nas anteriores

Kremez descobriu que esta nova versão do ransomware verificará os resultados do comando “arp -a” em busca de certas faixas de IP e os comparará com uma lista interna. Dependendo do resultado, os arquivos do computador não serão criptografados.

As faixas de IP são 10.30.4, 10.30.5, 10.30.6 e 10.31.32:

Além das faixas de IP, esta versão do ransomware Ryuk também comparará o nome do computador em busca das seguintes cadeias de caracteres: “SPB“, “Spb“, “spb“, “MSK“, “Msk“, e “msk“. Se o nome do computador contiver qualquer uma dessas cadeias de caracteres, o ransomware não criptografará os arquivos:

Depois de criptografados, os arquivos receberão a extensão ‘.RYK‘ como mostrado na imagem abaixo:

O pedido de resgate ‘RyukReadMe.html‘ inclui apenas dois endereços de email que a vítima usará para entrar em contato com os criminosos para receber as instruções de pagamento, o nome Ryuk e a frase “balance of shadow universe“: