Qeza Ransomware bloqueia sistemas infectados

Qeza é um tipo de ransomware pertencente à família Djvu. Ransomware é um tipo de software malicioso que criptografa arquivos e exige pagamento em troca de descriptografia. Além de criptografar os arquivos, Qeza acrescenta a extensão ".qeza" aos nomes dos arquivos e deixa uma nota de resgate chamada "_README.txt".

Quando Qeza criptografa arquivos, ele os renomeia adicionando ".qeza" ao nome do arquivo original. Por exemplo, "1.jpg" torna-se "1.jpg.qeza" e "2.png" torna-se "2.png.qeza". Fazendo parte da família Djvu, o Qeza pode ser distribuído em conjunto com ladrões de informações como Vidar e RedLine.

A nota de resgate deixada por Qeza informa às vítimas que os seus ficheiros foram encriptados e a única maneira de restaurá-los é comprando uma ferramenta de desencriptação e uma chave exclusiva. Menciona que um arquivo (sem dados importantes) pode ser descriptografado gratuitamente. A nota fornece dois endereços de e-mail de contato: support@freshingmail.top e datarestorehelpyou@airmail.cc.

Ele especifica o custo de descriptografia em US$ 999, com uma taxa de desconto de US$ 499 se as vítimas entrarem em contato com os atores da ameaça dentro de 72 horas. A nota afirma ainda que a recuperação de dados não é possível sem pagamento.

Nota de resgate de Qeza exige US$ 999

O texto completo da nota de resgate Qeza é o seguinte:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.

You can get and look video overview decrypt tool:

Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

Como o Ransomware se espalha on-line?

O ransomware pode se espalhar online por vários métodos, incluindo:

E-mails de phishing: um dos métodos mais comuns é por meio de e-mails de phishing. Os invasores enviam e-mails enganosos que parecem legítimos, geralmente com anexos ou links que, quando abertos ou clicados, baixam e executam o ransomware no sistema da vítima.

Links maliciosos: o ransomware pode ser distribuído por meio de links maliciosos em sites, plataformas de mídia social ou aplicativos de mensagens. Clicar nesses links pode acionar o download e a instalação de ransomware no dispositivo da vítima.

Kits de exploração: os cibercriminosos podem aproveitar kits de exploração, que são ferramentas projetadas para identificar vulnerabilidades em software ou sistemas operacionais. Ao explorar essas vulnerabilidades, o ransomware pode ser instalado silenciosamente no computador da vítima, sem o seu conhecimento.

Ataques de protocolo de área de trabalho remota (RDP): os invasores têm como alvo dispositivos com conexões RDP expostas ou pouco seguras. Eles usam técnicas de força bruta para obter acesso não autorizado ao sistema e implantar ransomware.

Malvertising: Anúncios maliciosos (malvertising) em sites legítimos podem redirecionar os usuários para sites que hospedam ransomware. A simples visita a um site comprometido pode acionar o download de ransomware no computador da vítima.

Downloads drive-by: Isso ocorre quando o ransomware é automaticamente baixado e instalado no dispositivo da vítima sem o seu consentimento enquanto visita um site comprometido.