16 ago

Trend Micro alerta para o ransomware Princess Evolution

De acordo com um relatório da Trend Micro publicado recentemente, o ransomware Princess Evolution está sendo distribuído através do RIG Exploit Kit.

O ransomware, que é uma versão melhorada do Princess Locker, é do tipo RaaS (Ransomware as a Service ou ransomware como serviço).

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.

Acesse o portal clicando aqui.

Trend Micro alerta para o ransomware Princess Evolution

Além da distribuição através do RIG Exploit Kit, o ransomware Princess Evolution também está sendo promovido através de fóruns utilizados por criminosos.

Neste caso o desenvolvedor do ransomware recruta um afiliado para promovê-lo e distribuí-lo e para cada pagamento de resgate feito, o desenvolvedor fica com 40% do valor e o afiliado fica com os 60% restantes.

Quando executado, o ransomware Princess Evolution criará dois mecanismos para impedir que o ransomware seja executado na mesma máquina mais de uma vez. O primeiro mecanismo cria um Mutex (mutual exclusion object) chamado “hoJUpcvgHA” e um arquivo na pasta %AppData%\MeGEZan.VDE. Se um deles for detectado, o ransomware não será executado.

Isto foi descoberto pelo pesquisador de segurança Valthek após uma análise mais cuidadosa do ransomware Princess Evolution.

Se a execução do ransomware for possível, ele entrará em contado com o servidor de comando e controle via UDP. De acordo com a Trend Micro, ele transmitirá o nome do usuário do computador infectado, o nome da interface de rede, a versão do sistema operacional e outras informações.

Depois de enviar as informações e receber as instruções do servidor de comando e controle, o ransomware Princess Evolution verificará os drives do computador em busca dos arquivos que serão criptografados.

Para cada vítima, ele criará uma extensão única para os arquivos. No exemplo abaixo a extensão criada para todos os arquivos criptografados foi a .7kfsAJ:

Enquanto os arquivos são criptografados, o ransomware criará três pedidos de resgate chamados (_H0W_TO_REC0VER_[extension].url, (_H0W_TO_REC0VER_[extension].txt e (_H0W_TO_REC0VER_[extension].html.

As versões em texto e HTML incluem links para o site TOR para pagamento do resgate e o ID único da vítima. Já o arquivo com extensão .url abrirá o site TOR para pagamento:

O site TOR para pagamento do resgate é usado pelas vítimas para receber informações como as instruções de pagamento, o valor a ser pago, opção para desbloquear um único arquivo gratuitamente e outras. No exemplo utilizado neste post o valor a ser pago foi de aproximadamente US$ 750 (.12 bitcoins).

Quando o site é acessado pela primeira vez, ele exibe a animação abaixo:

O site então exibe uma tela de login onde a vítima deve digitar seu ID único encontrado no pedido de resgate. O usuário poderá então optar por desbloquear um único arquivo gratuitamente:

A recomendação dos profissionais de segurança é que os usuários sempre façam o backup de seus arquivos e mantenham o sistema operacional, softwares de segurança e os outros softwares instalados sempre atualizados, já que ainda não existe uma forma de recuperar os arquivos criptografados por este ransomware sem pagar o resgate para os criminosos.

O relatório da Trend Micro sobre o ransomware Princess Evolution pode ser visto na íntegra aqui.