O PayForRepair Ransomware coloca um preço em seus arquivos
Table of Contents
Outra ameaça no cenário cibernético
Pesquisadores de segurança cibernética descobriram outra cepa de ransomware que está se infiltrando em sistemas infectados: o PayForRepair . Este programa malicioso pertence à conhecida família de ransomware Dharma e segue um padrão familiar, porém perigoso: criptografar arquivos e exigir um resgate em troca da descriptografia.
O PayForRepair foi projetado para bloquear o acesso das vítimas aos seus dados, aplicando uma tag de identificação única a cada arquivo criptografado. Os arquivos infectados são renomeados para incluir o ID específico da vítima, o endereço de e-mail do invasor e a extensão ".P4R". As vítimas também recebem notas de resgate em janelas pop-up e em um arquivo de texto chamado info.txt , que é inserido em cada pasta afetada.
Veja o que diz a nota de resgate:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
O que a PayForRepair quer
Ransomwares como o PayForRepair são criados para tornar dados pessoais e comerciais inacessíveis, criptografando-os com algoritmos robustos. Uma vez criptografados, os arquivos não podem ser abertos ou usados, a menos que uma chave de descriptografia exclusiva seja fornecida — algo que só o invasor possui. A nota de resgate do PayForRepair direciona as vítimas a enviarem um e-mail aos invasores para negociar a recuperação dos dados. O pop-up esclarece ainda mais a situação, afirmando que a descriptografia só será fornecida após o pagamento ser efetuado em Bitcoin .
Os invasores oferecem um símbolo de "boa-fé" ao permitir que a vítima descriptografe até três arquivos gratuitamente, desde que atendam a determinados critérios. Essa tática é comumente usada para construir confiança e pressionar a vítima a pagar. No entanto, eles também alertam as vítimas contra o uso de ferramentas de recuperação de terceiros, alegando que isso pode corromper permanentemente os arquivos criptografados — uma tática de intimidação típica de campanhas de ransomware.
Por que os ataques baseados no Dharma são difíceis de derrotar
Como membro da família de ransomware Dharma, o PayForRepair compartilha várias características com seus similares. Embora preserve arquivos críticos do sistema — o que significa que as vítimas ainda podem operar seus dispositivos —, ele ataca arquivos locais e compartilhados na rede indiscriminadamente. O ransomware aumenta sua taxa de sucesso ao encerrar processos relacionados a arquivos abertos, como aqueles usados por bancos de dados ou aplicativos de produtividade, garantindo que esses arquivos também possam ser bloqueados.
Para controlar sistemas infectados, o malware baseado em Dharma frequentemente se incorpora a locais específicos da máquina, como o diretório %LOCALAPPDATA% , e se configura para ser iniciado sempre que o computador for reiniciado. Ele também exclui quaisquer Cópias de Sombra de Volume — um recurso de backup integrado do Windows — para que as vítimas não possam simplesmente reverter seus sistemas para um estado anterior.
A dura realidade: pagar pode não ajudar
Infelizmente, as probabilidades se tornam desfavoráveis para as vítimas depois que o PayForRepair bloqueia seus arquivos. Os métodos de criptografia utilizados são geralmente robustos e, sem a chave de descriptografia dos invasores, a recuperação é quase impossível. Mesmo que as vítimas paguem o resgate, não há garantia de que as ferramentas de descriptografia serão realmente fornecidas. Em muitos casos, os cibercriminosos simplesmente aceitam o pagamento e desaparecem.
É por isso que especialistas em segurança cibernética desaconselham veementemente o pagamento de qualquer resgate. Isso não só financia operações criminosas, como também alimenta o crescimento de modelos de ransomware como serviço (RaaS), em que kits de malware são vendidos ou alugados para outros criminosos para ataques generalizados.
Como o PayForRepair se espalha
O método mais comum de infecção para variantes do ransomware Dharma, incluindo o PayForRepair, é por meio de serviços fracos de Protocolo de Área de Trabalho Remota (RDP). Os invasores usam técnicas de força bruta para adivinhar senhas e obter acesso a sistemas com baixa segurança de login. Uma vez dentro, eles podem facilmente implantar ransomware e desativar defesas como firewalls.
No entanto, o RDP não é o único vetor. Outros métodos comuns incluem e-mails de phishing, anexos de arquivos maliciosos, atualizações falsas de software e downloads de fontes não verificadas. Muitas vezes, o ransomware se disfarça como um documento ou arquivo de instalação aparentemente inofensivo. Ao ser aberto, ele se instala silenciosamente e começa a criptografar os arquivos.
Em alguns casos, o ransomware pode se espalhar lateralmente pelas redes ou até mesmo infectar mídias removíveis, como pen drives. Isso destaca a necessidade de defesas em várias camadas que vão além do simples software antivírus.
Práticas ideais para prevenção e recuperação
Como remover ransomwares como o PayForRepair não descriptografa seus arquivos, a prevenção é a melhor linha de defesa. Uma das etapas mais importantes é manter backups offline regulares, armazenados em locais seguros e separados — de preferência em ambientes físicos e na nuvem. Isso garante que, mesmo se você for atacado, os dados possam ser restaurados sem pagar resgate.
Os usuários também devem ter cautela ao navegar online ou abrir e-mails não solicitados. Anexos e links de fontes desconhecidas devem sempre ser tratados com desconfiança. Além disso, as organizações devem desabilitar o acesso RDP não utilizado, aplicar políticas de senhas fortes e atualizar regularmente o software para corrigir vulnerabilidades conhecidas.
Cenário de ransomware em evolução
O PayForRepair se junta a uma lista crescente de variantes de ransomware, incluindo outras como Jackalock , DarkMystic e VerdaCrypt . Cada uma opera com métodos e alvos ligeiramente diferentes, mas todas compartilham um propósito comum: bloquear dados e extorquir pagamentos. Algumas exigem algumas centenas de dólares; outras, milhões — dependendo do alvo.
À medida que as ameaças evoluem, também deve evoluir a nossa compreensão de como elas operam e como nos defendermos delas. Embora o PayForRepair seja apenas um nome no concorrido campo do ransomware, seus métodos são um claro lembrete de como até mesmo a navegação rotineira ou a verificação de e-mails podem abrir caminho para interrupções significativas — a menos que as devidas salvaguardas sejam implementadas.
