Foi identificado um novo ransomware disfarçado como ativador do windows e com funções ocultas. Foi descoberto como estando ativo desde o dia 7 de agosto e, desde então, tem-se espalhado.

Além das funções ocultas, este ransomware contém um formulário que aparece depois de premido o F8, e aí aparece uma página de configuração com as seguintes informações:

- A chave do ficheiro encriptado

- O nome do ficheiro da mensagem de extorção

- Mensagem de extorção

- O id do user

- O sufixo do ficheiro adicionado

Contém também os destinos excluídos, que especificam as diretórias a ser ignoradas. As chaves de encriptação devem ser obtidas a partir do ficheiro em php: cosonar.mcdir.ru/get.php. Caso falhem as chaves, é usada a chave e o id do user por defeito.

Na base da encriptação, está o CryptoPP (libraria em C++ para criptografia) e o algoritmo AES (Advanced Encryption System). Assim que a encriptação estiver completa, a extensão [.]keypass é adicionada a todos os ficheiros e é pedido à vítima que pague 300$ dentro de 72h para desencriptar os ficheiros.

The ransomware is a global problem it emerges as a lucrative revenue model for cybercriminals. Some ransomware’s also have worm-like capabilities which enable to spread across the network.