Tycoon – Um novo tipo de ransomware

 

Conhecido como Tycoon, o novo tipo de ransomware que usa um formato de arquivo Java pouco conhecido para dificultar a detecção antes de executar a criptografia de arquivos. A outra novidade é que o Tycoon tem como alvo computadores que executam tanto sistemas Windows quanto Linux.

Como funciona?

Implantado nos computadores sob a forma de um Java Runtime Environment (JRE) “modificado”, o malware dificulta a detecção por antivírus ao ser compilado em um arquivo de imagem Java.

Em seu primeiro estágio de ação, ele acessa redes a partir de servidores que utilizam remote desktop protocol1 (RDP) inseguros, e se mantém dentro do sistema modificando configurações e ganhando novos níveis de acesso.

Após a execução do Tycoon, o ransomware começa a criptografar os arquivos, que ganham extensões como .grinch, .redrum e .thanos.

Prometendo desfazer a criptografia dos arquivos, os hackers solicitam em troca do pagamento de recompensas que são pagas em criptomoedas, na maioria das vezes, bitcoins. Para a grande maioria das vítimas, suas únicas opções são torcer por um backup ou pagar o resgate.

Há indícios de que o Tycoon tenha relação com outros malwares como Dharma ou Crysis, pois ambos possuem informações parecidas nos arquivos criptografados.

 

Prevenção

O Tycoon não se espalha automaticamente. Medidas comuns como: políticas de segurança de rede, mecanismos de proteção e atualização de sistemas operacionais, instalação de patches de segurança, backup de rede e uso de senhas fortes já são o suficiente para manter os sistemas seguros.