Sabemos que o OnePercent ransomware tem estado activo no mundo cibernético desde finais de 2020. Com base nas operações de Ransomware as a Service (RaaS), o grupo por detrás do OnePercent ransomware tem visado ataques a várias empresas em todo o mundo e em grande parte nos Estados Unidos.
Tal como muitos outros ransomwares, a OnePercent codifica geralmente os dados de uma empresa, ameaçando divulgar ou leiloar as informações recolhidas se o pagamento não for efectuado.
O procedimento e alguns instrumentos utilizados pela OnePercent são bem conhecidos do Federal Bureau of Investigation (FBI), que tem estado interessado no grupo desde o início dos seus ataques.
O sransomware OnePercent conta com o trojan IceID para entrar nos sistemas através de campanhas de phishing e e-mails maliciosos. Após esta invasão, procuram obter acesso ao sistema infectado através da Cobalt Strike.
De acordo com o FBI, os hackers podem permanecer nos sistemas das vítimas durante aproximadamente um mês. Ao longo dessas semanas, o OnePercent ransomware espalha-se pelo ambiente e extrai dados importantes.
Para tal, o grupo precisa de estar preparado com ferramentas para agir dentro do sistema e passar despercebido durante todo este tempo. O OnePercent ransomware pode contar com ferramentas tais como MimiKatz, SharpKatz, e BetterSafetyKatz, a biblioteca SharpSploit pós-exploração, e o software de linha de comando Rclone.
O grupo também tem a reputação de adoptar uma abordagem agressiva às suas vítimas na obtenção de pagamentos de resgate. Telefonam às vítimas utilizando números de telefone falsos e enviam-lhes vários e-mails se não tiverem respondido ao seu pedido de resgate no prazo de uma semana.
Para além dos procedimentos utilizados e das várias ferramentas envolvidas no processo de encriptação, para as vítimas que se recusam a pagar rapidamente, o grupo responsável pela OnePercent ameaça levar os dados a público. Após este aviso, se a vítima ainda se recusar a pagar, os dados são transferidos para o grupo REvil Sodinokibi para serem leiloados.
A parceria entre estes dois grupos é preocupante e muito perigosa, uma vez que o REvil Sodinokibi é na realidade o mais temido ransomware da última década.
Certamente, em casos de ataques de ransomware , é essencial que uma empresa seja bem controlada.
Apesar do hype, a recuperação de dados encriptados por ransomware é possível e a Recuperação Digital é especializada nesta área. Com mais de 23 anos no mercado da recuperação de dados, temos ajudado centenas de empresas a retomar as suas actividades.
As nossas soluções são únicas e permitem-nos recuperar remotamente ficheiros encriptados em Servidores, Bases de Dados, Sistemas RAID, Máquinas Virtuais e muito mais.
Sabemos quão confidenciais e sensíveis podem ser os dados de uma empresa. Por esta razão, todas as nossas soluções se baseiam na General Data Protection Regulation (GDPR) e, claro, para garantir a confidencialidade, fornecemos aos nossos clientes um NDA (Non Disclosure Agreement).
Apesar da complexidade do problema, a Recuperação Digital está aqui para o ajudar. Não negocie com os criminosos! Contacte-nos e obtenha os seus dados de volta.
Todos os dias, os ataques de resgate ficam cada vez melhores. Após uma tentativa de ataque bem sucedida, o ransomware mapeia rapidamente os ficheiros mais importantes do utilizador para iniciar a encriptação. Os ficheiros Microsoft Office, bases de dados, PDFs e design estão entre os seus principais alvos.
O Ransomware foi concebido para ser imperceptível, pelo que pode desactivar todas as defesas do sistema sem ser notado e iniciar o processo de encriptação dos ficheiros. Embora o ransomware possa passar despercebido pelo sistema, ainda pode ser notado pelo utilizador, porque o ransomware utiliza os próprios recursos do sistema para fazer a encriptação, isto pode atrasar o sistema. O ransomware também altera as extensões dos ficheiros. Portanto, esteja atento a estes sinais: Abrandamento do sistema e extensões a serem adicionadas aos ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, é possível. Pode reiniciar o computador em modo seguro, o que limitará a acção do resgate, uma vez que os recursos do sistema ficarão bloqueados. Também pode desligar o computador da Internet, o que pode interromper a ligação dos hackers ao seu sistema, vale a pena lembrar que existe um programa de resgate que funciona mesmo sem estar ligado à Internet. Também pode iniciar o diagnóstico para identificar ameaças com o seu antivírus, a grande maioria dos antivírus tem esta função.
Mas há casos em que a encriptação foi interrompida pelo utilizador, alguns ficheiros já tinham sido afectados e isto causou um erro na encriptação e mesmo os hackers não conseguiram restaurar os ficheiros, mesmo com a chave de desencriptação. Nestes casos, apenas uma empresa de recuperação de dados, tal como a Digital Recovery, pode recuperar os ficheiros.
Para saber mais, fale com os nossos especialistas.
Sim, os ataques acontecem geralmente principalmente nos feriados e fins de semana durante as primeiras horas da manhã. Estes dias são escolhidos porque não há muitos utilizadores activos no sistema, o que impede que o ataque seja descoberto antes de a encriptação estar concluída.
Para saber mais, fale com os nossos especialistas.
A grande maioria dos resgates usa encriptação RSA [Rivest-Shamir-Adleman]-2048 e AES [Advanced Encryption Standard].
Para saber mais, fale com os nossos especialistas.
Antes de mais, não pagar o resgate. Não importa o que os hackers digam, não há garantia de que a chave de decifração seja efectivamente libertada após o pagamento do resgate.
A primeira coisa a fazer é informar as autoridades sobre o ataque, os governos têm departamentos especializados em cibercrimes que investigarão o ataque. Depois disso, verifique se as suas cópias de segurança foram afectadas, se foram, apenas uma empresa especializada na recuperação de dados pode recuperar os seus ficheiros, este é o passo seguinte. Contacte a Digital Recovery, que o ajudará na recuperação completa dos seus ficheiros.
Para saber mais, fale com os nossos especialistas.
Após o primeiro contacto e envio dos meios de comunicação afectados, diagnosticaremos o dispositivo para verificar a extensão dos danos causados pelo resgate, com isto podemos projectar a duração do processo, e fornecer o orçamento ao cliente. Após o orçamento ser aprovado pelo cliente, iniciamos o processo de recuperação, para isso dispomos de software exclusivo que pode, com a ajuda dos nossos especialistas, reconstruir os dados.
Se o cliente optar pela recuperação remota, em vez de nos enviar os suportes, enviará os ficheiros encriptados para um ambiente virtual, que é totalmente seguro, para que possamos aceder aos mesmos.
Após o fim do processo, faremos uma dupla verificação para que o cliente possa verificar a integridade dos ficheiros recuperados.
O pagamento só é efectuado após a entrega dos ficheiros e a validação dos mesmos pelo cliente.
Para saber mais, fale com os nossos especialistas.
Saiba mais sobre recuperação de dados e inovações tecnológicas.
