Capibara Ransomware bloqueia computadores infectados

Durante uma análise de novas amostras de arquivos, nossa equipe de pesquisa descobriu o ransomware Capibara. Este software malicioso funciona criptografando arquivos para exigir pagamentos de resgate.

Depois de adquirir uma amostra desse malware, nós o executamos em nosso sistema de teste. Observamos que os arquivos criptografados por este ransomware têm seus nomes alterados com uma extensão ".capibara". Por exemplo, um arquivo chamado "1.jpg" seria exibido como "1.jpg.capibara" e "2.png" como "2.png.capibara" e assim por diante.

Após a conclusão do processo de criptografia, Capibara alterou o plano de fundo da área de trabalho e gerou um arquivo de texto chamado "READ_ME_USER.txt" contendo uma nota de resgate em russo. A nota informa à vítima que seus arquivos foram embaralhados e agora estão ilegíveis, e ressalta que a recuperação é impossível sem o envolvimento dos invasores.

A vítima é instruída a comprar uma ferramenta de descriptografia por 5.000 rublos russos usando Bitcoin. No entanto, o valor do resgate especificado em Bitcoins – 0,073766 BTC – não se alinha com a soma do rublo à taxa de câmbio atual, dadas as flutuações contínuas nas taxas.

A nota de resgate da Capibara vem apenas em russo

O texto completo da nota de resgate da Capibara é o seguinte:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Como o ransomware pode infectar seu computador doméstico?

O ransomware pode infectar seu computador doméstico por vários meios, incluindo:

E-mails de phishing: os invasores enviam e-mails enganosos contendo links ou anexos maliciosos. Clicar nesses links ou abrir anexos infectados pode baixar e instalar ransomware em seu computador.

Sites maliciosos: visitar sites comprometidos ou maliciosos pode expor seu computador a downloads drive-by, onde o ransomware é baixado e instalado automaticamente sem o seu conhecimento.

Vulnerabilidades de software: software desatualizado, especialmente sistemas operacionais e aplicativos, pode ter vulnerabilidades de segurança que o ransomware explora para obter acesso ao seu computador.

Protocolo de área de trabalho remota (RDP) inseguro: se você usar o RDP para se conectar remotamente ao seu computador doméstico e ele não estiver devidamente protegido (por exemplo, usando senhas fracas), os invasores poderão explorar isso para obter acesso e implantar ransomware.

Unidades USB infectadas: Conectar unidades USB infectadas ou outros dispositivos de armazenamento externos pode introduzir ransomware em seu computador.

Software gratuito ou pirateado: Baixar software de fontes não confiáveis ou usar software pirata aumenta o risco de baixar ransomware junto com ele.

Explorando vulnerabilidades de rede: O ransomware pode se espalhar por uma rede doméstica se um computador for infectado e o malware obtiver acesso a unidades compartilhadas ou outros dispositivos conectados à rede.