Surgiram notícias de que ferramentas de hacking maliciosas foram usadas em ataques direcionados especificamente a computadores de alto valor pertencentes a indivíduos e organizações do setor financeiro na Ucrânia. O malware descoberto nesses ataques é o mesmo malware que os pesquisadores da ESET conseguiram descobrir no H2 de 2016 pertencer a um novo grupo de hackers, conhecido como TeleBots. No momento não se sabe se esses hackers simplesmente usaram o código do malware desenvolvido pelo grupo BlackEnergy ou se eles próprios são o grupo, apenas com um nome diferente.
Como os ataques são conduzidos
Os ataques de e-mail de phishing típicos foram usados quando se tratava desses ataques. Eles também estavam relacionados a documentos do Microsoft Excel que foram anexados a esses e-mails. Para fazer os usuários abrirem esses e-mails, os atacantes realizam engenharia social (mentindo) nos e-mails que os fazem acreditar que o e-mail enviado a eles é de uma organização ou uma pessoa com quem estão familiarizados. Assim que a vítima abrir o anexo malicioso, ele ou ela pode ver um documento com informações ocultas que avisa para “Habilitar Conteúdo”, como a imagem abaixo mostra:
Assim que este conteúdo for habilitado, o usuário pode ativar uma macro maliciosa que pode causar a infecção.
Pesquisadores da ESET analisaram essas macros maliciosas e identificaram que elas injetam um processo malicioso chamado “Explorer.exe”. Este processo é executado, e foi identificado como um trojan que baixa qualquer coisa que o invasor mandar. Mais do que isso, pesquisadores também identificaram o malware a ser escrito na linguagem Rust.
Um backdoor codificado em Python foi baixado
Assim que uma infecção relacionada a este downloader for conduzida, um backdoor é baixado, conhecido como TeleBot Backdoor. Este vírus usa ofuscação para infectar e manter a comunicação com os bandidos para receber suas “ordens”. Para se comunicar com os hackers depois que uma infecção foi causada, TeleBot usa técnicas avançadas para enviar e receber comandos. Uma dessas técnicas é o Telegram Messenger, por meio do qual os invasores podem inserir comandos com base nos quais o Trojan corresponde.
Uma das características do malware é que ele pode roubar senhas. Ele contém um módulo que pode ser usado para coletar quaisquer senhas salvas no dispositivo infectado. Uma das ferramentas, CredRaptor pode atacar navegadores da web, como o Chrome, Raposa de fogo, Opera e outros.
Outro módulo, nomeado plainpwd pode ser usado pela equipe do TeleBot para realizar despejos da memória do sistema. Esses despejos podem conter informações críticas de credenciais do Windows.
Também existe o keylogger normalmente usado para obter diferentes senhas através da coleta de informações a partir das teclas digitadas pela vítima.
Mas isto não é tudo. Os hackers também podem usar sniffers de rede para coletar diferentes senhas do computador invadido. Essas ferramentas, quando vistos separadamente, não são nada importantes se você sabe como se proteger, mas usado em combinação pode certamente roubar uma grande quantidade de informações.
Outra ferramenta para roubar informações, chamada de ferramenta de consulta LDAP por pesquisadores da Eset é relatada para coletar e enviar informações sobre os computadores que são uma infecção em um domínio oculto; que é feito especificamente para a vítima.
O recurso KillDisk
Este recurso é o mais perigoso no malware TeleBots. Semelhante a vírus de ransomware, gostar GoldenEye ataca o registro mestre de inicialização e também sobrescreve alguns arquivos específicos que permitem criar novos arquivos com o mesmo nome dos arquivos que ataca. Este recurso permite destruir sistemas operacionais inteiros e excluir informações em computadores, tornando os próprios computadores não mais úteis.
The Bottom Line
Como uma conclusão, sejam eles TeleBots ou grupo de energia negra, os vigaristas por trás desse malware se esforçaram muito para defendê-lo dos pesquisadores e até mesmo para fazer a imagem acima de “fsociety” do Sr.. Exibição do robô em código.
- Degrau 1
- Degrau 2
- Degrau 3
- Degrau 4
- Degrau 5
Degrau 1: Procure por KillDisk com a ferramenta SpyHunter Anti-Malware
Remoção automática de ransomware - Guia de Vídeo
Degrau 2: Uninstall KillDisk and related malware from Windows
Aqui é um método em alguns passos simples que deve ser capaz de desinstalar a maioria dos programas. Não importa se você estiver usando o Windows 10, 8, 7, Vista ou XP, esses passos vai começar o trabalho feito. Arrastando o programa ou a sua pasta para a lixeira pode ser um muito má decisão. Se você fizer isso, pedaços e peças do programa são deixados para trás, e que pode levar a um trabalho instável do seu PC, erros com as associações de tipo de arquivo e outras atividades desagradáveis. A maneira correta de obter um programa fora de seu computador é para desinstalá-lo. Fazer isso:
Degrau 3: Limpe quaisquer registros, criado por KillDisk no seu computador.
Os registros normalmente alvo de máquinas Windows são os seguintes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Você pode acessá-los abrindo o editor de registro do Windows e excluir quaisquer valores, criado por KillDisk lá. Isso pode acontecer, seguindo os passos abaixo:
Antes de começar "Degrau 4", por favor Arrancar de novo para o modo Normal, no caso em que você está no Modo de Segurança.
Isto irá permitir-lhe instalar e uso SpyHunter 5 com sucesso.
Degrau 4: Inicialize seu PC no modo de segurança para isolar e remover KillDisk
Degrau 5: Tente restaurar arquivos criptografados por KillDisk.
Método 1: Use o STOP Decrypter da Emsisoft.
Nem todas as variantes deste ransomware pode ser descriptografado gratuitamente, mas nós adicionamos o decryptor utilizado por pesquisadores que é frequentemente atualizado com as variantes que se tornam, eventualmente descriptografado. Você pode tentar e descriptografar seus arquivos usando as instruções abaixo, mas se eles não funcionam, então, infelizmente, a sua variante do vírus ransomware não é decryptable.
Siga as instruções abaixo para usar o decrypter Emsisoft e descriptografar os arquivos de graça. Você pode baixar a ferramenta de decodificação Emsisoft ligados aqui e depois seguir os passos apresentados abaixo:
1 Botão direito do mouse na decrypter e clique em Executar como administrador como mostrado abaixo:
2. Concordo com os termos de licença:
3. Clique em "Adicionar pasta" e em seguida, adicione as pastas onde deseja que os arquivos descriptografado como debaixo mostrado:
4. Clique em "Decrypt" e esperar por seus arquivos para ser decodificado.
Nota: Crédito para o decryptor vai para pesquisadores Emsisoft que fizeram a descoberta com este vírus.
Método 2: Use software de recuperação de dados
As infecções de ransomware e KillDisk visam criptografar seus arquivos usando um algoritmo de criptografia que pode ser muito difícil de descriptografar. É por isso que sugeriram um método de recuperação de dados que podem ajudá-lo a ir descriptografia torno direta e tentar restaurar seus arquivos. Tenha em mente que este método pode não ser 100% eficaz, mas também pode ajudá-lo um pouco ou muito em situações diferentes.
Basta clicar no link e nos menus do site na parte superior, escolher Recuperação de dados - Assistente de Recuperação de Dados para Windows ou Mac (dependendo do seu SO), e depois baixe e execute a ferramenta.
KillDisk-FAQ
What is KillDisk Ransomware?
KillDisk é um ransomware infecção - o software malicioso que entra no computador silenciosamente e bloqueia o acesso ao próprio computador ou criptografa seus arquivos.
Muitos vírus ransomware usam algoritmos de criptografia sofisticados para tornar seus arquivos inacessíveis. O objetivo das infecções por ransomware é exigir que você pague um pagamento por resgate para ter acesso aos seus arquivos de volta.
What Does KillDisk Ransomware Do?
O ransomware em geral é um software malicioso que é projetado para bloquear o acesso ao seu computador ou arquivos até que um resgate seja pago.
Os vírus ransomware também podem danificar seu sistema, corromper dados e excluir arquivos, resultando na perda permanente de arquivos importantes.
How Does KillDisk Infect?
De várias maneiras. O KillDisk Ransomware infecta computadores sendo enviado através de e-mails de phishing, contendo anexo de vírus. Esse anexo geralmente é mascarado como um documento importante, gostar uma fatura, documento bancário ou até mesmo uma passagem de avião e parece muito convincente para os usuários.
Another way you may become a victim of KillDisk is if you baixe um instalador falso, crack ou patch de um site de baixa reputação ou se você clicar em um link de vírus. Muitos usuários relatam ter recebido uma infecção por ransomware baixando torrents.
How to Open .KillDisk files?
Vocês can't sem um descriptografador. Neste ponto, a .KillDisk arquivos são criptografado. Você só pode abri-los depois de descriptografados usando uma chave de descriptografia específica para o algoritmo específico.
O que fazer se um descriptografador não funcionar?
Não entre em pânico, e faça backup dos arquivos. Se um decodificador não decifrar seu .KillDisk arquivos com sucesso, então não se desespere, porque esse vírus ainda é novo.
posso restaurar ".KillDisk" arquivos?
sim, às vezes os arquivos podem ser restaurados. Sugerimos vários métodos de recuperação de arquivos isso poderia funcionar se você quiser restaurar .KillDisk arquivos.
Esses métodos não são de forma alguma 100% garantido que você será capaz de recuperar seus arquivos. Mas se você tiver um backup, suas chances de sucesso são muito maiores.
How To Get Rid of KillDisk Virus?
A maneira mais segura e eficiente de remover esta infecção por ransomware é o uso de um programa anti-malware profissional.
Ele irá procurar e localizar o ransomware KillDisk e, em seguida, removê-lo sem causar nenhum dano adicional aos seus arquivos .KillDisk importantes.
Posso denunciar ransomware às autoridades?
Caso seu computador tenha sido infectado por uma infecção de ransomware, você pode denunciá-lo aos departamentos de polícia locais. Ele pode ajudar as autoridades em todo o mundo a rastrear e determinar os autores do vírus que infectou seu computador.
Abaixo, preparamos uma lista com sites governamentais, onde você pode registrar uma denúncia caso seja vítima de um cibercrime:
Autoridades de segurança cibernética, responsável por lidar com relatórios de ataque de ransomware em diferentes regiões em todo o mundo:
Alemanha - Portal oficial da polícia alemã
Estados Unidos - IC3 Internet Crime Complaint Center
Reino Unido - Polícia de Fraude de Ação
França - Ministro do interior
Itália - Polícia Estadual
Espanha - Policia Nacional
Países Baixos - Aplicação da lei
Polônia - Polícia
Portugal - Polícia Judiciária
Grécia - Unidade de crime cibernético (Polícia Helênica)
Índia - Polícia de Mumbai - Célula de investigação do CyberCrime
Austrália - Centro de crime de alta tecnologia australiano
Os relatórios podem ser respondidos em prazos diferentes, dependendo das autoridades locais.
Você pode impedir que o ransomware criptografe seus arquivos?
sim, você pode prevenir o ransomware. A melhor maneira de fazer isso é garantir que o sistema do seu computador esteja atualizado com os patches de segurança mais recentes, use um programa anti-malware confiável e firewall, faça backup de seus arquivos importantes com frequência, e evite clicar em links maliciosos ou baixando arquivos desconhecidos.
Can KillDisk Ransomware Steal Your Data?
sim, na maioria dos casos ransomware roubará suas informações. It is a form of malware that steals data from a user's computer, criptografa isso, e depois exige um resgate para descriptografá-lo.
Em muitos casos, a autores de malware ou invasores ameaçarão excluir os dados ou publicá-lo on-line a menos que o resgate seja pago.
O ransomware pode infectar WiFi?
sim, ransomware pode infectar redes WiFi, como agentes mal-intencionados podem usá-lo para obter o controle da rede, roubar dados confidenciais, e bloquear usuários. Se um ataque de ransomware for bem-sucedido, pode levar a uma perda de serviço e/ou dados, e em alguns casos, perdas financeiras.
Devo Pagar Ransomware?
Não, você não deve pagar extorsionários de ransomware. Pagá-los apenas incentiva os criminosos e não garante que os arquivos ou dados sejam restaurados. A melhor abordagem é ter um backup seguro de dados importantes e estar atento à segurança em primeiro lugar.
What Happens If I Don't Pay Ransom?
If you don't pay the ransom, os hackers ainda podem ter acesso ao seu computador, dados, ou arquivos e pode continuar ameaçando expô-los ou excluí-los, ou mesmo usá-los para cometer crimes cibernéticos. Em alguns casos, eles podem até continuar a exigir pagamentos de resgate adicionais.
Um ataque de ransomware pode ser detectado?
sim, ransomware pode ser detectado. Software antimalware e outras ferramentas de segurança avançadas pode detectar ransomware e alertar o usuário quando está presente em uma máquina.
É importante manter-se atualizado sobre as medidas de segurança mais recentes e manter o software de segurança atualizado para garantir que o ransomware possa ser detectado e evitado.
Os criminosos de ransomware são pegos?
sim, criminosos de ransomware são pegos. Agências de aplicação da lei, como o FBI, A Interpol e outras empresas tiveram sucesso em rastrear e processar criminosos de ransomware nos EUA e em outros países. Como as ameaças de ransomware continuam a aumentar, o mesmo acontece com a atividade de fiscalização.
About the KillDisk Research
O conteúdo que publicamos em SensorsTechForum.com, this KillDisk how-to removal guide included, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o malware específico e restaurar seus arquivos criptografados.
Como conduzimos a pesquisa sobre este ransomware?
Nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, e como tal, recebemos atualizações diárias sobre as definições de malware e ransomware mais recentes.
além disso, the research behind the KillDisk ransomware threat is backed with VirusTotal e a projeto NoMoreRansom.
Para entender melhor a ameaça do ransomware, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.
Como um site dedicado a fornecer instruções gratuitas de remoção de ransomware e malware desde 2014, A recomendação do SensorsTechForum é preste atenção apenas a fontes confiáveis.
Como reconhecer fontes confiáveis:
- Sempre verifique "Sobre nós" página da web.
- Perfil do criador do conteúdo.
- Certifique-se de que pessoas reais estejam por trás do site e não nomes e perfis falsos.
- Verifique o Facebook, Perfis pessoais no LinkedIn e no Twitter.