Crocodile Smile Ransomware hospedará seus dados como reféns

Durante uma investigação de novas amostras de arquivos, nossos pesquisadores descobriram o ransomware Crocodile Smile. Este software malicioso funciona criptografando dados e exigindo pagamento em troca da descriptografia.

Ao executar uma amostra do Crocodile Smile em nossa máquina de teste, ele iniciou imediatamente o processo de criptografia. Os nomes dos arquivos afetados foram modificados com uma extensão “.CrocodileSmile”; por exemplo, "1.jpg" tornou-se "1.jpg.CrocodileSmile", "2.png" tornou-se "2.png.CrocodileSmile" e assim por diante para todos os arquivos criptografados.

Após a conclusão do processo de encriptação, Crocodile Smile alterou o papel de parede da área de trabalho e gerou uma nota de resgate denominada "READ_SOLUTION.txt".

O conteúdo da nota de resgate indica que o Crocodile Smile visa principalmente grandes organizações, e não usuários individuais. As vítimas provavelmente estão situadas na Europa, como se infere a partir de uma linha na nota de resgate que menciona a conformidade com os regulamentos europeus de proteção de dados, indicando um foco na informação das vítimas sobre a violação e na prestação de assistência.

A mensagem transmitida na nota de resgate informa à vítima que seus arquivos foram criptografados e que seus dados confidenciais foram comprometidos. Eles são instruídos a pagar 20,6 BTC (criptomoeda Bitcoin) para obter a chave de descriptografia e evitar que os invasores vazem os dados roubados. No momento em que este artigo foi escrito, esse valor equivale a aproximadamente 1,4 milhão de dólares, então parece óbvio que o ransomware tem como alvo empresas e organizações e não usuários domésticos.

Nota de resgate de sorriso de crocodilo tenta parecer engraçada

O texto completo da nota de resgate do Crocodile Smile é o seguinte:

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

Como você pode proteger preventivamente seus dados contra ataques de ransomware?

Proteger preventivamente seus dados contra ataques de ransomware envolve a implementação de diversas medidas proativas para minimizar o risco de infecção e mitigar possíveis danos. Aqui estão algumas estratégias que você pode adotar:

Faça backup regularmente: mantenha backups regulares de seus dados importantes em discos rígidos externos, armazenamento em nuvem ou servidores de backup. Certifique-se de que os backups sejam armazenados off-line ou em um segmento de rede separado para evitar que ransomware os criptografe.

Atualizar software: mantenha todos os sistemas operacionais, aplicativos e software de segurança atualizados com os patches e atualizações de segurança mais recentes. Vulnerabilidades em software desatualizado podem ser exploradas por ransomware.

Use software antivírus e antimalware: instale programas antivírus e antimalware confiáveis em todos os dispositivos e certifique-se de que sejam atualizados regularmente. Essas ferramentas podem detectar e bloquear infecções de ransomware.

Empregue medidas de segurança de e-mail: implemente soluções de filtragem e verificação de e-mail para detectar e bloquear anexos e links suspeitos que possam conter ransomware. Eduque os funcionários sobre os riscos dos e-mails de phishing e incentive um comportamento cauteloso ao abrir anexos ou clicar em links.

Habilite a proteção por firewall: utilize firewalls para monitorar e controlar o tráfego de entrada e saída da rede, bloqueando acesso não autorizado e conexões potencialmente maliciosas.

Restringir privilégios de usuário: Limite as permissões do usuário apenas ao nível necessário para executar suas tarefas. A restrição de privilégios administrativos pode ajudar a impedir que o ransomware se espalhe pelas redes.