Foi identificado um novo ransomware disfarçado como ativador do windows e com funções ocultas. Foi descoberto como estando ativo desde o dia 7 de agosto e, desde então, tem-se espalhado.
Além das funções ocultas, este ransomware contém um formulário que aparece depois de premido o F8, e aí aparece uma página de configuração com as seguintes informações:
- A chave do ficheiro encriptado
- O nome do ficheiro da mensagem de extorção
- Mensagem de extorção
- O id do user
- O sufixo do ficheiro adicionado
Contém também os destinos excluídos, que especificam as diretórias a ser ignoradas. As chaves de encriptação devem ser obtidas a partir do ficheiro em php: cosonar.mcdir.ru/get.php. Caso falhem as chaves, é usada a chave e o id do user por defeito.
Na base da encriptação, está o CryptoPP (libraria em C++ para criptografia) e o algoritmo AES (Advanced Encryption System). Assim que a encriptação estiver completa, a extensão [.]keypass é adicionada a todos os ficheiros e é pedido à vítima que pague 300$ dentro de 72h para desencriptar os ficheiros.
The ransomware is a global problem it emerges as a lucrative revenue model for cybercriminals. Some ransomware’s also have worm-like capabilities which enable to spread across the network.