Home MalasLocker Ransomware: Como se manter seguro

MalasLocker Ransomware: Como se manter seguro

MalasLocker é um novo grupo de ransomware que surgiu em março de 2023 e tem como alvo vulnerabilidades em servidores Zimbra. O grupo usa criptografia Age, que é uma técnica de criptografia incomum desenvolvida por Filippo Valsorda, um renomado criptógrafo. A nota de resgate deixada por MalasLocker exige um resgate incomum: em vez de um pagamento em dinheiro, as vítimas são solicitadas a doar para qualquer uma das instituições de caridade sem fins lucrativos aprovadas e enviar o e-mail de confirmação aos invasores para fins de verificação. Além disso, o manifesto do grupo de hackers afirma que não ataca países latino-americanos. O grupo compilou uma lista de 169 vítimas que categorizaram como “inadimplentes” e ameaça vazar os dados se as exigências não forem atendidas. O MalasLocker parece escolher as vítimas aleatoriamente e não há evidências de que seu “serviço” de descriptografia seja seguro para uso.Perguntas frequentes: se for para caridade, é seguro seguir as instruções na nota de resgate para descriptografar os dados?Embora forçar as vítimas a doar dinheiro para organizações sem fins lucrativos possa parecer um modus operandi de caridade no estilo Robin Hood, cumprir as exigências do agente da ameaça acarreta os mesmos riscos que qualquer outro ransomware: não há garantia de uma descriptografia bem-sucedida ou de que os dados não serão vazados,os ataques de ransomware ainda são criminosos e o cumprimento das suas exigências apoia as suas atividades, mas ainda existem potenciais implicações legais e considerações éticas.Os especialistas da SalvageData recomendam medidas proativas de segurança de dados, como backups regulares, práticas fortes de segurança cibernética e manutenção do software atualizado, para proteção contra ataques de ransomware. E, no caso de um ataque de ransomware MalasLocker, entre em contato imediatamente com nossos especialistas em recuperação de ransomware.

Que tipo de malware é o MalasLocker?

MalasLocker é um ransomware, um tipo de malware que criptografa e bloqueia os arquivos das vítimas e depois solicita um resgate em troca da chave de descriptografia. O grupo obtém acesso a servidores enviando e-mails de phishing com documentos JSP maliciosos aos usuários do Zimbra. Depois que o servidor é violado, o MalasLocker criptografa os dados usando a criptografia AGE. A criptografia AGE é uma ferramenta moderna de criptografia de arquivos desenvolvida por Filippo Valsorda, um renomado criptógrafo e líder de segurança Go no Google. No geral, a criptografia Age é uma ferramenta de criptografia de arquivos simples, moderna e segura que fornece um meio de proteger dados confidenciais contra acesso não autorizado. MalasLocker usando criptografia AGE é incomum, pois o ransomware geralmente usa uma combinação de algoritmos de criptografia simétricos e assimétricos.

Tudo o que sabemos sobre o MalasLocker Ransomware

Nome confirmado

  • Vírus LazyLocker

Tipo de ameaça

  • Ransomware
  • vírus criptográfico
  • Armário de arquivos
  • Dupla extorsão

Extensão de arquivos criptografados

  • Nenhum. Em vez de adicionar uma nova extensão de arquivo para arquivos criptografados, o ransomware MalasLoker adiciona a mensagem: “Este arquivo está criptografado, procure README.txt para obter instruções de descriptografia” para cada arquivo criptografado.

Mensagem exigindo resgate

  • README.txt

Existe um descriptografador gratuito disponível?Não, o ransomware MalasLocker não possui um descriptografadorNomes de detecção

  • AvastOutro:geração de malware [Trj]
  • MédiaOutro:geração de malware [Trj]
  • EmsisoftTrojan.JSP.Agent.D (B)
  • KasperskyHEUR:Backdoor.Java.JSP.gen
  • MicrosoftTrojan:Java/Malgent!MSR

Família, tipo e variante de ransomware

  • MalasLocker é uma família de ransomware

Métodos de distribuição

Leia também:Principais golpes de Venmo a serem observados (e como se manter seguro)

  • Vulnerabilidade em servidores Zimbra
  • E-mails de phishing

Consequências

  • Os arquivos são criptografados e bloqueados até o pagamento do resgate
  • Vazamento de dados
  • Arquivos criptografados
  • Arquivos JSP suspeitos
  • Uma nota de resgate chamada README.txt na máquina infectada

Como encontrar a nota de resgate do ransomware MalasLocker

MalasLocker exige uma doação para uma instituição de caridade sem fins lucrativos de sua escolha na nota de resgate. Este resgate incomum deu aos atores do MalasLocker o apelido de “Robin Hood”. No entanto, as vítimas do MalasLocker não devem cair nas suas pretensões de caridade, uma vez que não há provas de que tenham realmente doado o resgate. Doar para instituições de caridade sem fins lucrativos exigidas pelo ransomware MalasLocker acarreta certos riscos, incluindo falta de garantia, apoio a atividades criminosas, possíveis implicações legais, vazamento de dados e considerações éticas. A nota de resgate fornece o endereço de e-mail do invasor ou um link do site TOR mostrando o endereço de e-mail mais recente para entrar em contato com os invasores. Também ameaça vazar os dados se as demandas não forem atendidas. Este é um exemplo da nota de resgate do MalasLocker:

Como o MalasLocker infecta um sistema

O ransomware MalasLocker infecta um sistema violando servidores Zimbra. As vítimas relataram ter encontrado arquivos JSP suspeitos em servidores infectados. Acredita-se que o MalasLocker tenha como alvo os servidores Zimbra através de e-mails de phishing, onde documentos JSP maliciosos são enviados aos usuários do Zimbra.

Como funciona o ransomware MalasLocker

Assim que o sistema é comprometido, o MalasLocker criptografa e-mails e arquivos usando a ferramenta de criptografia Age. A criptografia de idade utiliza algoritmos avançados como X25519 (curva ECDH), ChaCha20-Poly1305 e HMAC-SHA2562. Este método de criptografia raramente é utilizado por operações de ransomware, tornando o MalasLocker único em sua abordagem. É importante observar que o MalasLocker tem como alvo específico sistemas não Windows, como servidores Zimbra. O grupo se apresenta como uma variante de ransomware “hacktivista”, com o objetivo de exfiltrar e-mails confidenciais e criptografar arquivos. No entanto, não há evidências que apoiem a segurança ou a eficácia do seu “serviço” de desencriptação. Contactar um serviço de remoção de ransomware pode não só restaurar os seus ficheiros, mas também remover qualquer ameaça potencial.

Como lidar com um ataque de ransomware MalasLocker

Importante:O primeiro passo após identificar os IOCs MalasLocker é recorrer ao seu Plano de Resposta a Incidentes (IRP). O ideal é que você tenha um Retentor de Resposta a Incidentes (IRR) com uma equipe confiável de profissionais que podem ser contatados 24 horas por dia, 7 dias por semana, 365 dias por ano, e que podem tomar medidas imediatas que evitarão a perda de dados e ajudarão você em quaisquer responsabilidades legais.

Até onde sabemos com as informações que temos no momento da publicação deste artigo, o primeiro passo que uma equipe de especialistas em recuperação de ransomware tomaria seria isolar o computador infectado removendo qualquer dispositivo conectado. Simultaneamente, esta equipe irá ajudá-lo a entrar em contato com as autoridades locais do seu país. No caso de residentes e empresas dos EUA, é oescritório local do FBIe oCentro de denúncias de crimes na Internet (IC3).Para denunciar um ataque de ransomware, você deve coletar todas as informações possíveis sobre ele, incluindo:

  • Capturas de tela da nota de resgate
  • Comunicações com atores de ameaças (se você os tiver)
  • Uma amostra de um arquivo criptografado

Entretanto, se você preferirentre em contato com profissionais, então não faça nada.Deixe cada máquina infectada como estáe peça umserviço emergencial de remoção de ransomware. Reiniciar ou desligar o sistema pode comprometer o serviço de recuperação. Capturar a RAM de um sistema ativo pode ajudar a obter a chave de criptografia, e capturar um arquivo dropper, ou seja, um arquivo que executa a carga maliciosa, pode sofrer engenharia reversa e levar à descriptografia dos dados ou à compreensão de como eles funcionam. No entanto, se você não tiver um IRP ou IRR, ainda poderáentre em contato com profissionais de remoção e recuperação de ransomware. Este é o melhor curso de ação e aumenta muito as chances de remover o ransomware com sucesso, restaurar os dados e prevenir ataques futuros. Recomendamos que vocêdeixe todas as máquinas infectadas como estãoe ligue para umserviço de recuperação de ransomware de emergência.

1. Entre em contato com seu provedor de resposta a incidentes

Uma resposta a incidentes cibernéticos é o processo de resposta e gerenciamento de um incidente de segurança cibernética. Um Retentor de Resposta a Incidentes é um contrato de serviço com um provedor de segurança cibernética que permite às organizações obter ajuda externa com incidentes de segurança cibernética. Ele fornece às organizações uma forma estruturada de conhecimento e suporte por meio de um parceiro de segurança, permitindo-lhes responder de forma rápida e eficaz no caso de um incidente cibernético. Um retentor de resposta a incidentes oferece tranquilidade às organizações, oferecendo suporte especializado antes e depois de um incidente de segurança cibernética. A natureza e a estrutura específicas de um contrato de resposta a incidentes variam de acordo com o fornecedor e os requisitos da organização. Um bom retentor de resposta a incidentes deve ser robusto, mas flexível, fornecendo serviços comprovados para melhorar a postura de segurança de longo prazo de uma organização. Se você entrar em contato com seu provedor de serviços de RI, ele cuidará de todo o resto. No entanto, se você decidir remover o ransomware e recuperar os arquivos com sua equipe de TI, poderá seguir as próximas etapas.

2. Identifique a infecção por ransomware

Você pode identificar qual ransomware infectou sua máquina pela extensão do arquivo (alguns ransomware usam a extensão do arquivo como nome),usando uma ferramenta de identificação de ransomware, ou estará na nota de resgate. Com essas informações, você pode procurar uma chave de descriptografia pública. Você também pode verificar o tipo de ransomware por seus IOCs. Indicadores de comprometimento (IOCs) são pistas digitais que os profissionais de segurança cibernética usam para identificar comprometimentos de sistema e atividades maliciosas em uma rede ou ambiente de TI. Eles são essencialmente versões digitais de evidências deixadas na cena do crime, e possíveis IOCs incluem tráfego de rede incomum, logins de usuários privilegiados de países estrangeiros, solicitações estranhas de DNS, alterações em arquivos do sistema e muito mais. Quando um IOC é detectado, as equipes de segurança avaliam possíveis ameaças ou validam sua autenticidade. Os IOCs também fornecem evidências do que um invasor teria acesso caso se infiltrasse na rede.

3. Remova o ransomware e elimine kits de exploração

Antes de recuperar seus dados, você deve garantir que seu dispositivo esteja livre de ransomware e que os invasores não possam realizar um novo ataque através de kits de exploração ou outras vulnerabilidades. Um serviço de remoção de ransomware pode excluí-lo, criar um documento forense para investigação, eliminar vulnerabilidades e recuperar seus dados.

4. Use um backup para restaurar os dados

Os backups são a maneira mais eficiente de recuperar dados. Certifique-se de manter backups diários ou semanais, dependendo do uso de dados.

5. Contate um serviço de recuperação de ransomware

Se você não tiver um backup ou precisar de ajuda para remover o ransomware e eliminar vulnerabilidades, entre em contato com um serviço de recuperação de dados. Cumprir as demandas dos agentes de ameaças não garante que seus dados serão devolvidos a você. A única maneira garantida de restaurar todos os arquivos é se você tiver um backup deles. Caso contrário, os serviços de recuperação de dados de ransomware podem ajudá-lo a descriptografar e recuperar os arquivos. Os especialistas em SalvageData podem restaurar seus arquivos com segurança e evitar que o ransomware MalasLocker ataque sua rede novamente.

Prevenir o ataque do ransomware MalasLocker

Prevenir ransomware é a melhor solução para segurança de dados. é mais fácil e barato do que recuperar deles. O ransomware MalasLocker pode custar o futuro da sua empresa e até fechar suas portas. Estas são algumas dicas para garantir que você possaevite ataques de ransomware:

  • Instale software antivírus e antimalware.
  • Empregue soluções confiáveis ​​de segurança cibernética.
  • Utilize senhas fortes e seguras.
  • Mantenha softwares e sistemas operacionais atualizados.
  • Implemente firewalls para proteção adicional.
  • Crie um plano de recuperação de dados.
  • Agende backups regularmente para proteger seus dados.

Related Posts

Como reduzir o uso da memória do Microsoft Edge no Windows 11/10

Como reduzir o uso da memória do Microsoft Edge no Windows 11/10

2025-03-28
3 maneiras de encontrar senhas Wi-Fi salvas no Windows 10

3 maneiras de encontrar senhas Wi-Fi salvas no Windows 10

2025-05-07
Como configurar o encaminhamento de porta no Windows 11 Mobile Hotspot

Como configurar o encaminhamento de porta no Windows 11 Mobile Hotspot

2025-05-03
Como corrigir o erro “Carregar vender.dll, instalar o driver VGA”

Como corrigir o erro “Carregar vender.dll, instalar o driver VGA”

2025-04-14
Como corrigir o congelamento do CLIPCHAMP e travando no Windows 11

Como corrigir o congelamento do CLIPCHAMP e travando no Windows 11

2025-04-08
O que é o Ra Group Ransomware e como evitar um ataque

O que é o Ra Group Ransomware e como evitar um ataque

2025-04-30
Inteligência artificial

Inteligência artificial

2025-04-04
8 maneiras de consertar a tela branca da morte no Windows 11/10

8 maneiras de consertar a tela branca da morte no Windows 11/10

2025-08-05
10 melhores sites para obter livros online gratuitos para crianças (20244)

10 melhores sites para obter livros online gratuitos para crianças (20244)

2024-08-01
Inteligência artificial

Inteligência artificial

2024-12-06
Falha antrópica de Claude permite que invasores roubem dados usando a própria API da IA

Falha antrópica de Claude permite que invasores roubem dados usando a própria API da IA

2025-11-03
Serviços de gerenciamento de TI para empresas de todos os tamanhos

Serviços de gerenciamento de TI para empresas de todos os tamanhos

2025-01-17
Applicamento de rede unifi 9.1.92 Atualização

Applicamento de rede unifi 9.1.92 Atualização

2025-02-20
Faça o download do Windows 11 Arquivos ISO 24H2

Faça o download do Windows 11 Arquivos ISO 24H2

2025-02-04
Por que as ações da Apple atingiram um máximo histórico na segunda-feira

Por que as ações da Apple atingiram um máximo histórico na segunda-feira

2025-10-21