Os desenvolvedores do Netwalker têm como alvo as pessoas através da campanha de fraude com coronavírus
Devido à pandemia em andamento, os golpistas iniciaram ativamente o surto de CORONA como tema de sua campanha de phishing e malware. Uma dessas campanhas foi relatada que leva à perigosa instalação do Netwalker Ransomware no dispositivo dos destinatários.
Enquanto o email real não estava sendo enviado para nós, o MalwareHunterTeam conseguiu encontrar um anexo que lidera a instalação do Netwalker no final. O grupo de pedágio e o distrito de saúde pública de Urbana, em Illionis, são os dois que foram vítimas de ataques desta ameaça.
A nova campanha de phishing Netwalker ou Mailto está usando um arquivo de anexo chamado CORONAVIRUS_COVID-19.vbs que contém um código executável e ofuscado do Ransomware para extrair e iniciá-lo no dispositivo.
Quando o script é executado, o executável se salva no arquivo% Temp% \ qeSw.exe e inicia o processo de criptografia no dispositivo.
Um pesquisador do SentinelLabs chamado Vitali Kremez disse que esta versão do ransomware encerra o cliente de proteção de terminais Fortinet. Ao ser perguntado por que o pesadelo faz isso, o kremez disse que pode ser para evitar a detecção.
“Suponho que seja porque eles já desabilitaram a funcionalidade antivírus diretamente do painel de administração do cliente; no entanto, eles não desejam acionar um alarme encerrando os clientes”, disse kremez.
Após a criptografia concluída, os usuários encontram uma nota de resgate denominada extensão –Readme.txt que contém as instruções sobre como acessar o site Tor Payment do ransomware para pagar a demanda de resgate.
No momento, não há nenhuma fraqueza conhecida no ransomware, o que significa que não há ferramenta oficial de descriptografia disponível para o ransomware Netwalker. Portanto, se você foi infectado por esse malware, tente recuperar os arquivos usando o backup existente ou recriá-lo.