Rajah Ransomware pede resgate em Bitcoin

Durante nossa análise de novos envios de arquivos, nossa equipe de pesquisa encontrou o Rajah ransomware, um programa malicioso pertencente à família Makop ransomware. Esse tipo específico de malware é projetado com o objetivo de criptografar dados e extorquir pagamento em troca de descriptografia.

Ao testar o ransomware Rajah em nosso sistema, observamos que ele criptografa arquivos e modifica seus títulos anexando um ID distinto atribuído a cada vítima, o endereço de e-mail dos criminosos cibernéticos e a extensão ".rajah". Por exemplo, um arquivo originalmente denominado "1.jpg" seria transformado em "1.jpg.[2AF20FA3].[rajah@airmail.cc].rajah". Além disso, o ransomware cria uma nota de resgate chamada "+README-WARNING+.txt".

A nota de resgate serve como um pedido de pagamento, enfatizando que os arquivos da vítima foram criptografados e só podem ser restaurados pelos invasores. Ele adverte explicitamente contra a tentativa de usar software antivírus ou ferramentas de recuperação de terceiros, pois tais ações tornariam os arquivos permanentemente não descriptografáveis, resultando em perda irreversível de dados. A vítima é informada de que o processo de desencriptação requer o pagamento de um resgate em criptomoeda Bitcoin, com o valor específico não especificado.

Rajah Ransom Note não lista nenhum resgate BTC específico

O texto completo da nota de resgate de Rajah é o seguinte:

XXX Seus dados foram criptografados XXX

Para restaurar seus dados, escreva para rajah@airmail.cc

POR FAVOR, LEIA O TEXTO ABAIXO COM MUITA ATENÇÃO!!!

1. Ninguém devolverá seus dados, exceto nós (não confie em terceiros)
2. Os programas antivírus e de recuperação corromperão permanentemente seus dados (mesmo nós não podemos restaurá-los para você!)
3. O pagamento da recuperação dos seus dados é feito em BITCOIN (BTC)!!! SOMENTE BITCOIN!!!
4. Você pode comprar BITCOIN (BTC) no site hxxps://www.binance.com/en (Passe por um cadastro simples seguindo as instruções do site e depois compre BITCOIN (BTC)

Se você leu o texto acima e precisa dos seus dados, é hora de nos escrever.

Como um ransomware como o Rajah pode entrar no seu sistema?

Existem várias maneiras comuns pelas quais ransomwares como o Rajah podem se infiltrar em seu sistema:

• E-mails de phishing: os cibercriminosos geralmente distribuem ransomware por meio de e-mails de phishing. Eles criam e-mails que parecem legítimos e convencem os destinatários a clicar em links maliciosos ou baixar anexos infectados. Depois de aberto, o malware obtém acesso ao sistema e começa a criptografar os arquivos.
• Downloads maliciosos: o ransomware pode ser agrupado com downloads aparentemente inofensivos de sites não confiáveis ou disfarçado como atualizações de software legítimas. Quando os usuários baixam e executam esses arquivos maliciosos sem saber, o ransomware assume o controle do sistema.
• Exploração de vulnerabilidades de software: os cibercriminosos exploram vulnerabilidades em sistemas operacionais, programas de software ou plug-ins para distribuir ransomware. Se o seu sistema não estiver atualizado com os patches de segurança mais recentes, ele ficará mais suscetível a esses ataques.
• Drive-by downloads: Visitar sites comprometidos ou maliciosos pode levar a drive-by downloads, onde o malware é automaticamente baixado e instalado sem a interação do usuário. Isso pode ocorrer por meio de kits de exploração que visam vulnerabilidades em navegadores da Web ou plug-ins.
• Dispositivos externos infectados: o ransomware pode se espalhar por meio de dispositivos externos infectados, como unidades USB ou discos rígidos externos. Quando esses dispositivos estão conectados ao seu sistema, o malware pode iniciar seu processo de criptografia.