Satan Ransomware

Ransomware é um tipo de golpe que eu jamais iria acreditar que fosse fazer tanto sucesso como está fazendo nos dias atuais, é um golpe simples e incrivelmente eficiente se você não tem recursos de backup para recuperar seus arquivos.

E cada dia que passa está ficando mais fácil começar a aplicar esse golpe,  não é preciso entender de programação nem mesmo é preciso ter o código fonte de um ramsonware, basta buscar por serviços de RaaS, ou, Ransomware As a Service, que é apenas uma subcategoria dentro do CaaS (Crime As a Service).

Mas onde é possível localizar esse tipo de serviço? Bem, no local onde seja possível se manter escondido, a Deep Web.

Um dos serviços de Ransomware presentes na Deep Web é o Ransomware Satan, um serviço bem interessante e prático. Seu criador solicita apenas 30% do valor de resgate que você vai cobrar de sua vítima, parece uma taxa alta já que o trabalho de sujar as mãos vai ser seu, mas o programador do Ransomware teve todo o trabalho de criar o código do ransomware e principalmente criar um site com instruções bem simples e eficiêntes de como começar nesse mercado.

A criação do malware é incrivelmente simples, tudo fica a cargo do site e as informações que você precisa colocar é basicamente o valor do resgate que está solicitando e caso queira, a data final que a vítima tem para pagar, depois dessa data final você pode inserir um valor de multa, ou seja, uma quantidade a mais que será cobrada caso a vítima venha a pagar o resgate depois da data que você informou como prazo limite.

Depois de criado, basta fazer o download do malware é infectar suas vítimas, pagamentos recebidos e computadores infectados também ficam registrados no seu painel de gerência, o que é muito interessante e prático.

O arquivo é incrivelmente pequeno e encripta os arquivos do computador de forma rápida, o teste que fiz foi em um Windows Server 2012 R2.

No local onde o ransomware conseguiu encriptar os arquivos, ele vai deixando um arquivo em HTML com as informações para que a vítima faça o pagamento do resgate.

As instruções estão em diversos idiomas.

O valor é pago para o site que fornece o serviço de ransomware, funcionando como um “escrow”, atividade muito comum em fóruns de crime virtual, ou seja, o site que está fornecendo o serviço de RaaS funciona como um atravessador, é dessa forma que o seu criador mantem o controle dos seus clientes e também dessa forma que ele retira seus 30% pelo uso do seu serviço.

Outro ponto muito interessante do site é o suporte às melhores práticas para infectar suas vítimas, ele tem um gerador de powershell ou script em python para criar, usando a função “XOR” uma camada de encriptação para o ransomware.

Também da suporte na geração de uma página html ou uma macro para Microsoft Word onde seja possível fazer download do seu malware em algum site que você o tenha colocado, por exemplo, https://shellzen.net/ransomware.exe, você só precisa inserir a URL e criar um código e o site faz todo o trabalho de criar a macro e o html.

Arquivo powershell que vai fazer download do malware e executa-lo na pasta “TEMP” do Windows da vítima.
Página HTML que deve ser publicada, assim que a vítima acessar a página um script vai tentar rodar um powershell no computador da vítima, fazer download do malware e executa-lo na pasta “TEMP”.