Ativadores estão instalando o novo Ransomware STOP(Rumba)

Este texto é uma tradução da matéria New Rumba STOP Ransomware Being Installed by Software Cracks(Lawrence Abrams) de propriedade do renomado site de tecnologia bleepingcomputer

O ransomware STOP tem tido uma grande distribuição no ultimo mês(01/2019) usando instaladores de adware disfarçados de cracks(ativadores). Essa campanha continua com uma nova variante liberada a alguns dias que adiciona a extensão .rumba ao nome dos arquivos criptografados.

Usando pacotes de adware e cracks como um novo método de distribuição, o STOP tem se tornado o uma das mais proliferadas infecções de ransomwares que vemos a algum tempo. Primeiro começando com a extensão .djvu, que então foi alternada para a extensão .tro, esta última variante .rumba continua sendo largamente distribuída como pode-se ver no gráfico do ID Ransomware abaixo:

ID Ransomware Submission
Submissão do ID Ransomware

Uma prática comum utilizada por sites que distribuem cracks é utilizar pacotes de adware para gerar receitas. Esses pacotes normalmente vão instalar extensões não desejadas, adwares,clickers e mineradores, mas um distribuidor desses pacotes parece ter ficado cego e começou a distribuir o  ransomware STOP também.

Alguns dos cracks reportados que estavam instalando este ransomware incluindo cracks de ativação do Windows como o KMSPico, Cubase, Photoshop, softwares de antivírus, e cracks para vários outros tipos de softwares licenciados. Desses relatórios por usuários infectados parece não haver um site específico afetado, mas vários diferentes estão distribuindo pacotes de adware similares.

Adware Installer
Exemplo de instalador de adware relatado como instalador do ransomware STOP

Não houveram muitas alterações nesta variante e os desenvolvedores continuam a usar a mesma abordagem como já dito no artigo sobre o ransomware DJVU. A principal diferença nessa versão de ransomware é a adição da extensão .rumba aos arquivos criptografados como mostrado abaixo.

https://www.bleepstatic.com/images/news/ransomware/s/stop/rumba/encrypted-files.jpg

Em cada pasta que um arquivo é criptografado o ransomware criará uma nota  chamada ransom _openme.txt que contem instruções sobre como contatar o atacante para instruções de pagamento.

https://www.bleepstatic.com/images/news/ransomware/s/stop/rumba/ransom-note.jpg

A boa noticia é que pode ser possível receber ajuda para recuperar seus arquivos de graça. Se você for infectado pelo ransomware STOP(.djvu, .tro, ou .rumba) veja essa postagem sobre como utilizar o decriptografador de Michael Gillespie’s.

Se isto não ajudar, então registre uma conta no bleepingcomputer e poste as seguinte informações em uma nova resposta para nosso tópico de ajuda e suporte sobre o Ransomware Stop:

– MAC Addres da placa de rede. Isto pode ser obtido utilizando o comando getmac /v. Se você não está certo sobre qual MAC address postar, copie toda a saída do comando.

– Um link para dois arquivos criptografados, você pode usar o serviço Wetransfer para isso. https://wetransfer.com/

– Seu id pessoal que consta na nota do ransomware (_openme.txt)

Após enviar a informação vamos tentar ajuda-lo, mas por favor, seja paciente.

Se quizer mais conteúdos como este, siga-nos em nossas redes sociais e interaja conosco pedindo conteúdos sobre tecnologia da informação que considera interessantes e importantes.

Deixe seu comentário  com sugestões de assuntos ou melhorias e ajude a adequar nosso conteúdo as suas necessidades !!

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *