• Atividades de Ransomware:"TROJ_RANSOM.ZD" e "TROJ_RANSOM.HUN"

    Um fato bastante notório no mundo da segurança da informação, é que as ameaças de hoje são projetadas para atrair o público local em todos os lugares. Nesse contexto, há duas ameaças distintas a partir das quais os especialistas da Trend Micro, recentemente, mostraram como ransomware é direcionado para usuários em países específicos. Nestes casos, os usuários de computador na Turquia e Hungria foram os alvos. Em primeiro lugar, os especialistas depararam com um e-mail de notificação enviado aos usuários turcos, que fala sobre uma atualização de faturamento. Os destinatários são solicitados a baixar e visualizar a versão atualizada da fatura. Ao clicar sobre os links fornecidos, os usuários são direcionados para um site que lhes pede para digitar uma frase CAPTCHA e baixar o documento.


    É importante ressaltar que todas as tentativas de acessar o site com um link modificado, resultarão no redirecionamento para o site oficial, na tentativa de evitar suspeitas do usuário. O arquivo baixado parece ser um arquivo em formato PDF, mas se a pessoa prestar bastante atenção, vai perceber que seja um arquivo executável. Uma vez executado, o arquivo malicioso, detectado como TROJ_RANSOM.ZD, criptografa arquivos encontrados no sistema afetado. A notificação pop-up aparece, instruindo a vítima a efetuar pagamento para realizar a decriptografia de arquivos. Além disso, o wallpaper também é modificado para exibir a mesma mensagem que a da notificação.

    A mensagem informa a vítima sobre uma vulnerabilidade do sistema, que foi explorada para criptografar os arquivos. Assim, os atacantes dão à vítima apenas três dias para pagar pela senha de decodificação. Nesse esquema criminoso, um endereço de e-mail funciona como o detalhe de contato único para a pessoa que desencadeia este ataque; o endereço pertence a um provedor de e-mail gratuito ucraniano. Além disso, vale destacar que a mensagem menciona especificamente os administradores de TI - de acordo com a mensagem, os dados foram criptografados usando uma técnica que, supostamente, vai demorar mil anos para ser decifrada.

    Em segundo lugar, os pesquisadores também descobriram que os usuários na Hungria foram atacados pelo ransomware. Esta variante é detectada como TROJ_RANSOM.HUN e lista os tipos de arquivos que foram criptografados, bem como os passos para desbloquear o arquivo e o valor do resgate (20.000 florints, ou pouco menos de 90 dólares.)


    Saiba Mais:

    [1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...cal-in-europe/