Um novo ataque de ransomware amplamente distribuído pela Internet está a afetar os utilizadores com base na  sua localização geográfica, verificando o endereço IP do dispositivo infectado antes de proceder com qualquer tipo de operação maliciosa.

O ransomware foi descoberto por investigadores de segurança da Doctor Web e também por cibercriminosos, e logo deixaram o alerta que o programa malicioso ataca os utilizadores dos sistemas operativos  Windows.

O antivirus da Dr. Web deteta este trojan como DPH: Trojan encoder 9 ou Trojan.Encoder.25129. Este é um trojan baseado em cifras (ramsonware) e que cifra todo o conteúdo do disco do computador afetado.

ransomware

 

Depois de se instalar no computador da vítima, ele verifica a sua localização pelo endereço IP do dispositivo infetado. De acordo com a análise realizada pelos investigadores, parece que os autores do malware projetaram este ransomware de forma a evitar cifrar ficheiros em países específicos, como Rússia, Bielorrússia e Cazaquistão, bem como no caso em que os parâmetros regionais do Windows estavam em russo e Língua russa. No entanto, como resultado de um erro no código, o ransomware cifra os ficheiros, independentemente da localização geográfica do endereço IP, e a “decifragem” dos ficheiros afetados através deste malware é uma tarefa impossível na maioria dos casos — p.ex., se for utilizada uma cifra com um par de chaves, a chave privada não é mantida o que impossibilita a tarefa.

The Trojan encodes the contents of the folders of the current user, the Windows desktop, and the service folders AppData and LocalAppData. Encryption is carried out using the algorithms AES-256-CBC, encrypted files are assigned the extension .tron.
Files larger than 30,000,000 bytes (approximately 28.6 MB) are not affected. Once the encryption is complete, the Trojan creates a file% ProgramData% \\ trig in which it writes the value “123” (if such a file already exists, the encryption is not done). Then the malware sends a request to the iplogger site whose address is registered in his body. Then the malware displays a window with a ransom request.
Este ransomware é distribuído principalmente através das redes sociais. Mantenha-se atento, não clique em URLs distribuídas por páginas “desconhecidas”, e principalmente, não instale software de terceiros no seu computador. Seja consciente!