O ransomware Dark Angels está activo desde Maio de 2022, tudo indica que pertence à família Babuk ransomware. Como habitualmente, os grupos ransomware melhoram o seu malware e lançam frequentemente novas variantes.
O Dark Angel ransomware também não é deixado de fora desta jogada. Vimos que o ransomware chamado ELF apropriou-se de uma boa parte técnica do ransomware do Dark Angel que foi copiado desta vez.
Ao contrário dos ransomwares ELF que visam ambientes Linux, Dark Angel concentra-se em atacar empresas que têm sistemas Windows e Windows Server. De acordo com testemunhos recentes das vítimas, os ataques do ransomware Dark Angel geraram um nível muito elevado de danos.
Algumas empresas acabam por sofrer graves consequências devido ao evento. Estas incluem perda de receitas, multas ligadas à Lei Geral de Protecção de Dados, ou perda de credibilidade no que diz respeito aos seus clientes e futuros clientes potenciais.
Na maioria dos casos, o ponto de entrada dos ransomware deve-se simplesmente a uma falta de atenção por parte de um empregado. De facto, 85% das violações são causadas por erro humano, como a abertura de um e-mail malicioso, por exemplo.
Uma vez pirateado o ambiente, o Dark Angels ransomware é então executado. Dark Angels é concebido para executar um processo bem definido que se resume basicamente a estes pontos:
- Copiar os dados dos hackers para uma área protegida e confidencial.
- Encriptar os ficheiros para os tornar inacessíveis.
- Acrescentar uma extensão ao nome do ficheiro original.
- Gerar um ficheiro correspondente à nota de resgate.
- Sair do ambiente.
Após a fase de cópia e encriptação dos dados, os ficheiros infectados ganham a extensão .crypt para o nome do ficheiro original.
Depois, antes do processo estar completo, é gerado um ficheiro de texto que faz a nota de resgate. A vítima encontrará então um novo ficheiro chamado “How_To_Restore_Your_Files.txt” no seu ambiente.
Há indicações sobre como contactar os atacantes através de uma ligação à rede Tor. No mesmo ficheiro podemos ler indicações ameaçadoras sobre o que a vítima não deve fazer de acordo com o grupo Dark Angels. Aqui estão alguns pontos mencionados na nota de resgate:
- Não editar os ficheiros afectados (por exemplo, renomear, mover, copiar, etc.)
- Não reinicialize ou desligue o dispositivo infectado.
- Não utilizar software de recuperação de terceiros ou contactar as autoridades.
Um perigo iminente é discernível quando se vê o aumento do número de ataques nos últimos meses. Este aumento também revela que não é possível estar a salvo de um ataque ransomware. É por isso que já não devemos pensar no que a minha empresa deve fazer “se”, mas “quando” acontece.
É importante estar em boa companhia quando o ransomware invade o seu sistema, mais os criminosos não querem que a vítima encontre qualquer outra forma de recuperar os dados encriptados do que a sua solução.
Recuperar ficheiros encriptados por Dark Angels ransomware
Actualmente existem empresas seguras como a Digital Recovery que estão activas no mercado da recuperação de dados. Com uma experiência de mais de 23 anos, foi possível adquirir conhecimentos e um forte know-how para ajudar as empresas que foram vítimas de ataques de resgate em todo o mundo.
A nossa equipa foi capaz de desenvolver uma solução eficaz que nos permite recuperar dados encriptados em quase todos os dispositivos de armazenamento, tais como servidores, sistemas RAID, máquinas virtuais, bases de dados, entre outros.
Compreendemos como é importante para os nossos clientes agir de forma confidencial e profissional. É por isso que a nossa solução se baseia na General Data Protection Regulation (GDPR). Além disso, fornecemos aos nossos clientes um acordo de confidencialidade (NDA).
Hoje em dia, a Digital Recovery pode funcionar de forma totalmente remota, tanto no processo de diagnóstico como de recuperação.
A nossa equipa de apoio multilingue está disponível 24 horas por dia, 7 dias por semana, para o ajudar a recuperar os seus dados rápida e eficazmente.
