O ransomware criptográfico Ranscam simplesmente exclui arquivos, não criptografa nada

O ransomware criptográfico está em todo lugar. Programas que criptografam arquivos do usuário e exigem um resgate para descriptografar dados trazem muito dinheiro para seus criadores. Entre esse tipo de software, existem programas realmente brilhantes. Em muitos casos, os desenvolvedores desse malware cumprem sua promessa: se o usuário pagar, ele recebe uma chave para descriptografar os arquivos. Mas nem sempre é esse o caso - às vezes a chave não vem após o pagamento.

Também acontece que não há apenas uma chave, mas também arquivos. O Ranscam é um malware que apenas finge ser um ransomware criptográfico. O software finge que os arquivos estão criptografados, embora na verdade tudo o que o usuário vê na tela seja uma linha de comando com uma lista de arquivos excluídos. Assim que os arquivos são excluídos, o programa exibe uma janela pop-up solicitando que você pague dinheiro pelo recebimento da chave de criptografia.



Na janela de informações exibida, o usuário vê uma mensagem informando que todos os arquivos foram transferidos para uma seção oculta do disco e estão criptografados; todos os programas importantes estão bloqueados; o computador não pode funcionar normalmente. Também é indicado que, ao efetuar um pagamento em bitcoins, tudo retornará ao seu lugar - o usuário receberá seus arquivos de volta.

Um pouco mais baixo na janela é um campo em que você precisa inserir seus dados após efetuar um pagamento. O malware supostamente precisa "verificar" os dados de pagamento da vítima. Diz-se também que pressionar um botão sem efetuar um pagamento está repleto da exclusão completa de todos os arquivos. Tudo o que este software faz é executar uma solicitação HTTP GET para receber imagens PNG demonstrando o processo de verificação para o usuário. De fato, o programa não verifica nada.

Além disso, o pagamento não ajudará - todos os arquivos são excluídos com um cripto-ransomware quando o PC está infectado. O autor do malware está tentando induzir a vítima a pagar dinheiro. O software em si é bastante simples - obviamente, invasores não muito experientes trabalharam nele.

O vírus entra no computador do usuário na forma de um arquivo .NET executável. O arquivo é assinado com um certificado digital emitido pela reca [.] Net. A data de emissão do certificado é 6 de julho de 2016.



Quando a vítima abre o arquivo, o software executa várias ações. Primeiro, o programa se copia para% APPDATA% \ e também é registrado na inicialização. Além disso, é descompactado em% TEMP% \.





O programa cria e executa um arquivo executável que encontra várias pastas no sistema da vítima e finge "criptografar" esses arquivos. De fato, tudo é excluído permanentemente.



O malware nesse caso justifica totalmente seu nome, pois executa várias outras ações que matam o sistema do usuário:

• Exclua todos os arquivos do Windows responsáveis ​​pelo backup dos dados (Restauração do sistema);
• Exclui cópias de sombra;
• Exclui várias chaves do Registro responsáveis ​​por iniciar o sistema no Modo de Segurança.

Depois de tudo isso, o sistema solicita um arquivo JPEG para demonstrar uma mensagem sobre a necessidade de pagar pela descriptografia de arquivos.



Feito tudo isso, o script desliga o computador. Todas as etapas descritas acima serão executadas sempre que você ligar o PC. E cada vez que o malware exclui mais e mais novos arquivos e exibe uma mensagem sobre a necessidade de pagamento,



aqui está uma lista dos arquivos baixados quando o Ranscam está sendo executado no servidor do invasor. Ele nem se deu ao trabalho de ofuscar os dados.

Os especialistas em segurança da informação que estudam malware enviaram um endereço de email para o vírus especificado na mensagem. A "vítima" solicitou ajuda do criador do vírus, dizendo que ela não pôde concluir a transação com o Bitcoin corretamente. Quase imediatamente após a solicitação, uma resposta veio.



Houve outro pedido de ajuda: “Eu não entendo nada sobre essas coisas. Não entendo o que tudo isso significa ou quanto custa, mas quero recuperar meu computador. Eu tenho muitas fotos da minha família e nem consigo navegar. Existe algum lugar onde eu possa enviar meus dados ou talvez haja um número de telefone no qual você possa me ajudar? Não sei o que fiz, mas o computador da minha filha não mostra essa mensagem desagradável, o que devo fazer? Por favor, ajude a devolver minhas fotos, elas são importantes! ”

Algumas horas após a solicitação, o atacante enviou uma resposta, onde deu instruções detalhadas sobre o pagamento. Depois disso, o autor do vírus não continuou a se comunicar. No entanto, ele forneceu o mesmo endereço da carteira Bitcoin listado na janela de informações exibida pelo vírus. Este endereço é 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Especialistas que estudavam o problema verificaram as transações dessa carteira e viram que o valor total dos fundos transferidos já havia atingido US $ 277,61. É verdade que esse dinheiro chegou à carteira mais cedo, até 20 de junho. Não há transações após esta data.

Até agora, esse malware não se espalhou muito. O Ranscam pode ser um dos primeiros malwares, cujos criadores não querem fazer trabalho extra, mas apenas dinheiro. Por que criar um complexo ransomware de criptografia, gaste tempo e dinheiro para criá-lo, se você pode disfarçá-lo como um vírus comum que exclui arquivos e requer dinheiro? A questão é retórica.

Source: https://habr.com/ru/post/pt396123/