IRIS Ransomware criptografa dados
Durante o exame de novas amostras de arquivos, nossa equipe de pesquisa encontrou um software prejudicial chamado IRIS, derivado do ransomware Chaos. O IRIS opera encriptando ficheiros e exigindo pagamento pela sua desencriptação.
Em nosso ambiente de testes, esse ransomware bloqueou arquivos de maneira eficaz e adicionou uma extensão de quatro caracteres aos nomes dos arquivos. Por exemplo, um arquivo originalmente chamado "1.jpg" apareceria como "1.jpg.582m" após a criptografia, enquanto "2.png" se tornaria "2.png.2n02" e assim por diante para todos os arquivos afetados. Após este processo de criptografia, o IRIS alterou o papel de parede da área de trabalho e deixou uma nota de resgate chamada "read_it.txt".
A mensagem transmitida pelo IRIS explica que os arquivos da vítima foram criptografados e que para recuperá-los é necessário pagar um resgate de US$ 350, pagável em XMR (criptomoeda Monero). Além disso, a nota alerta que dados confidenciais pertencentes à vítima, como histórico de navegação e informações de identificação pessoal, foram copiados e roubados. Consequentemente, a formatação do dispositivo é considerada uma solução ineficaz, pois os invasores ameaçam divulgar o conteúdo roubado se o pagamento não for recebido.
Nota de resgate IRIS exige US$ 350
O texto completo da nota de resgate produzida pela IRIS é o seguinte:
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
Como o ransomware pode entrar no seu sistema?
O ransomware pode se infiltrar no seu sistema por vários meios, incluindo:
E-mails de phishing: um método comum é por meio de e-mails maliciosos contendo anexos ou links que, quando clicados, executam a carga do ransomware. Esses e-mails muitas vezes se disfarçam como comunicações legítimas de fontes confiáveis, incentivando os usuários a abri-los.
Sites maliciosos: visitar sites comprometidos ou maliciosos pode expor seu sistema a ransomware. Esses sites podem explorar vulnerabilidades em seu navegador ou plug-ins para baixar e executar ransomware sem o seu conhecimento.
Malvertising: anúncios maliciosos, conhecidos como malvertising, podem entregar cargas de ransomware quando clicados. Esses anúncios podem aparecer em sites legítimos e explorar vulnerabilidades em redes de publicidade para distribuir malware.
Explorando vulnerabilidades: O ransomware pode explorar vulnerabilidades de software não corrigidas em seu sistema operacional ou aplicativos instalados. Os invasores podem usar kits de exploração, que são pacotes de código projetados para automatizar a exploração de vulnerabilidades conhecidas, para entregar cargas úteis de ransomware.
Ataques de protocolo de área de trabalho remota (RDP): os invasores podem explorar credenciais fracas ou padrão em serviços de protocolo de área de trabalho remota (RDP) para obter acesso não autorizado ao seu sistema. Uma vez lá dentro, eles podem implantar ransomware e criptografar arquivos.
Downloads drive-by: O ransomware também pode ser entregue por meio de downloads drive-by, onde o malware é baixado e executado automaticamente ao visitar um site comprometido ou malicioso.
