FORCE Ransomware manterá seus arquivos cativos

Nossa equipe de pesquisadores encontrou a variante do ransomware FORCE enquanto conduzia um exame de rotina de novas amostras de arquivos. FORCE pertence à linhagem de ransomware Phobos.

Durante os testes em nosso sistema experimental, FORCE criptografou arquivos com sucesso e depois exigiu pagamento pela sua descriptografia. Os nomes dos arquivos criptografados foram alterados para incluir um identificador exclusivo atribuído à vítima, o endereço de e-mail dos cibercriminosos e uma extensão “.FORCE”. Por exemplo, um arquivo originalmente chamado "1.jpg" apareceria como "1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE".

Após o processo de criptografia, foram geradas notas de resgate idênticas – uma na forma de pop-up ("info.hta") e outra como arquivo de texto ("info.txt"). Essas mensagens foram depositadas na área de trabalho e distribuídas em todos os diretórios que continham arquivos criptografados.

As notas de resgate associadas ao FORCE indicam que os ficheiros da vítima foram encriptados e que dados confidenciais foram comprometidos. Para descriptografar os arquivos, é exigido um pagamento de resgate em criptomoeda Bitcoin. O não cumprimento dessas exigências resultaria na venda das informações vazadas. Antes de efetuar qualquer pagamento, é oferecida à vítima a oportunidade de testar o processo de desencriptação gratuitamente, embora com certas limitações.

Estas mensagens alertam contra a alteração dos ficheiros encriptados ou a utilização de ferramentas de recuperação de terceiros, pois isso pode tornar os dados permanentemente inacessíveis. Além disso, a vítima é avisada de que procurar ajuda de terceiros pode agravar as suas perdas financeiras.

Nota de resgate FORCE completa

O texto completo da nota de resgate FORCE é o seguinte:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

Como o Ransomware é comumente distribuído online?

O ransomware é comumente distribuído online por meio de vários métodos, incluindo:

E-mails de phishing: hackers enviam e-mails enganosos contendo anexos ou links maliciosos. Esses e-mails geralmente se fazem passar por entidades ou organizações legítimas, incentivando os destinatários a abrir o anexo ou clicar no link, que então instala o ransomware em seus sistemas.

Malvertising: Anúncios maliciosos exibidos em sites legítimos podem redirecionar os usuários para sites que hospedam kits de exploração, que por sua vez entregam ransomware no dispositivo da vítima por meio de vulnerabilidades em seu software.

Kits de exploração: são pacotes de código pré-escrito que exploram vulnerabilidades em software ou sistemas operacionais desatualizados. Quando os usuários visitam sites comprometidos ou clicam em links maliciosos, os kits de exploração baixam e instalam silenciosamente ransomware em seus dispositivos.

Ataques de protocolo de área de trabalho remota (RDP): os invasores obtêm acesso não autorizado a sistemas com credenciais RDP fracas ou padrão. Uma vez lá dentro, eles implantam ransomware diretamente na rede comprometida, muitas vezes causando danos generalizados.

Downloads drive-by: Código malicioso é injetado em sites legítimos, fazendo com que os visitantes baixem ransomware involuntariamente em seus dispositivos simplesmente navegando no site.

Vulnerabilidades de software: os autores de ransomware exploram vulnerabilidades em software ou sistemas operacionais para obter acesso não autorizado aos sistemas e instalar ransomware sem o conhecimento ou consentimento do usuário.

Redes peer-to-peer (P2P): O ransomware pode ser disfarçado como software crackeado ou conteúdo pirateado distribuído através de redes P2P. Usuários desavisados baixam e executam esses arquivos, infectando seus sistemas sem saber com ransomware.