Pegasus Ransomware criptografa unidades do sistema da vítima

Nossa equipe encontrou o Pegasus, um programa de ransomware, enquanto analisava os envios de novas amostras de arquivos. Quando executamos uma amostra do Pegasus em nossa máquina de teste, ele criptografou arquivos e modificou seus nomes.

Os nomes dos arquivos originais foram estendidos com uma sequência de caracteres aleatórios, por exemplo, "1.jpg" tornou-se "1.jpg.tBC8M" e "2.png" tornou-se "2.png.qGuj7". Após a conclusão do processo de criptografia, uma nota de resgate chamada "Ghost_ReadMe.txt" foi depositada.

A nota de resgate notifica a vítima de que seus arquivos estão inacessíveis devido à criptografia. Isso garante que eles possam recuperar seus dados comprando a ferramenta de descriptografia dos invasores. O valor do resgate é especificado como US$ 350 em criptomoeda Bitcoin. Após o pagamento, a vítima é instruída a fornecer provas da transação, após a qual é prometido receber a chave de descriptografia.

Nota de resgate da Pegasus exige pagamento de US$ 350

O texto completo do arquivo "Ghost_ReadMe.txt" gerado pelo ransomware Pegasus é o seguinte:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Quais são os vetores de ataque mais comuns usados pelo ransomware?

O ransomware pode infiltrar-se nos sistemas através de vários vetores de ataque, mas alguns dos mais comuns incluem:

E-mails de phishing: os invasores geralmente distribuem ransomware por meio de e-mails de phishing contendo anexos ou links maliciosos. Esses e-mails podem se passar por entidades ou organizações legítimas, induzindo os destinatários a clicar em links ou baixar anexos que contenham cargas de ransomware.

Sites maliciosos: o ransomware pode ser distribuído através de sites maliciosos ou sites legítimos comprometidos. Visitar esses sites ou clicar em anúncios maliciosos pode levar ao download e execução automáticos de ransomware no sistema da vítima.

Kits de exploração: os cibercriminosos exploram vulnerabilidades em software ou sistemas operacionais usando kits de exploração para entregar ransomware. Esses kits têm como alvo vulnerabilidades conhecidas que não foram corrigidas, permitindo que invasores obtenham acesso não autorizado aos sistemas e implantem ransomware.

Protocolo de área de trabalho remota (RDP): os invasores podem usar credenciais RDP de força bruta ou explorar senhas fracas para obter acesso não autorizado a sistemas remotamente. Uma vez lá dentro, eles podem implantar ransomware diretamente nos sistemas comprometidos.

Downloads drive-by: O ransomware pode ser entregue por meio de downloads drive-by, onde o malware é automaticamente baixado e instalado no sistema da vítima sem seu consentimento ou conhecimento ao visitar sites comprometidos ou maliciosos.

Malvertising: os cibercriminosos podem distribuir ransomware por meio de anúncios maliciosos (malvertising) exibidos em sites legítimos. Clicar nesses anúncios pode redirecionar os usuários para sites que hospedam ransomware ou iniciar downloads automáticos de cargas de ransomware.

Execução Remota de Código (RCE): Vulnerabilidades em aplicativos da web ou software de servidor podem ser exploradas para executar código arbitrário remotamente. Os invasores podem aproveitar as vulnerabilidades do RCE para implantar ransomware em servidores ou dispositivos de rede.

Redes de compartilhamento de arquivos: O ransomware pode se espalhar através de redes de compartilhamento de arquivos peer-to-peer (P2P) ou compartilhamentos de rede comprometidos. Os arquivos infectados compartilhados por meio dessas redes podem levar à disseminação de ransomware para outros usuários ou dispositivos conectados à rede.