Malwarebytes lançou uma ferramenta de descriptografia gratuita para ajudar as vítimas de um recente ataque de ransomware a recuperar seus dados de criminosos cibernéticos que empregam uma técnica de fraude de suporte técnico. A nova variante de ransomware chamada VindowsLocker apareceu na semana passada. Ele funciona conectando vítimas a falsos técnicos da Microsoft para que seus arquivos sejam criptografados usando um Pastebin API.
Golpistas de suporte técnico têm visado usuários desavisados da Internet por um bom tempo. Uma combinação de engenharia social e engano, a tática maliciosa evoluiu de chamadas frias para alertas falsos e, mais recentemente, bloqueios de tela. Os golpistas de suporte técnico agora adicionaram ransomware ao seu arsenal de ataque.
Jakub Kroustek, um pesquisador de segurança do AVG, primeiro detectou o ransomware VindowsLocker e nomeou a ameaça com base na extensão do arquivo .vindows ele é anexado a todos os arquivos criptografados. O ransomware VindowsLocker usa o algoritmo de criptografia AES para bloquear arquivos com as seguintes extensões:
TXT, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd
VindowsLocker imita esquema de suporte técnico
O ransomware emprega uma tática típica da maioria dos golpes de suporte técnico, em que as vítimas são solicitadas a ligar para um número de telefone fornecido e falar com um pessoal de suporte técnico. Em contraste, os ataques de ransomware no passado pediam pagamentos e manipulavam chaves de descriptografia usando um portal Dark Web.
este não é o suporte Microsoft vindows
nós bloqueamos seus arquivos com o vírus Zeus
faça uma coisa e chame o técnico de suporte da microsoft de nível 5 em 1-844-609-3192
você vai devolver os arquivos com uma cobrança única de $ 349,99
Malwarebytes acredita que os golpistas operam fora da Índia e imitam o pessoal de suporte técnico da Microsoft. O VindowsLocker também usa uma página de suporte do Windows aparentemente legítima para dar a falsa impressão de que o suporte técnico está pronto para ajudar as vítimas. A página de suporte pede o endereço de e-mail da vítima e as credenciais bancárias para processar o pagamento de $ 349,99 para desbloquear um computador. No entanto, pagar o dinheiro do resgate não ajuda os usuários a recuperar seus arquivos, de acordo com o Malwarebytes. Isso ocorre porque os desenvolvedores do VindowsLocker agora não conseguem descriptografar automaticamente um computador infectado devido a alguns erros de codificação.
Malwarebytes explica que os codificadores de ransomware VindowsLocker erraram em uma das chaves de API destinadas ao uso em sessões curtas. Consequentemente, a chave API expira após um curto período e os arquivos criptografados ficam online, impedindo os desenvolvedores do VindowsLocker de fornecer as chaves de criptografia AES às vítimas.
Leia também:
- Identifique o ransomware que criptografou seus dados com esta ferramenta gratuita
- Como remover o ransomware Locky para sempre
- Malwarebytes lança desencriptador grátis para ransomware Telecrypt
- Ransomware Locky se espalhando no Facebook disfarçado como arquivo .svg
