Ransomware Onyx destrói ficheiros das vítimas invés de encriptar
Recentemente um novo grupo de ransomware entrou em cena, conhecido como “Onyx”. No entanto, a técnica usada por este grupo para bloquear os ficheiros das vítimas é ligeiramente diferente dos restantes.
Invés de encriptar os conteúdos, o ransomware usado pelo grupo pode mesmo destruir os ficheiros, tornando os mesmos inacessíveis até mesmo se as vítimas pagarem o resgate.
O grupo foi inicialmente descoberto pelos investigadores MalwareHunterTeam, sendo que inicialmente acreditava-se que este seria apenas mais um grupo de ransomware no mercado. No entanto, a forma como este ataca as vítimas é ligeiramente diferente.
Tal como muitos outros ransomwares, o conteúdo das vítimas é roubado antes de ser encriptado. No entanto, é neste processo que existem diferenças, já que o sistema de encriptação do grupo encontra-se criado para realmente encriptar ficheiros abaixo dos 2MB de tamanho, com outros ficheiros acima deste valor a serem permanentemente destruídos.
O malware usado foca-se em sobrescrever os dados dos ficheiros acima de 2MB com dados aleatórios, o que basicamente destrói os seus conteúdos – e fica impossível de recuperar os mesmos até se as vítimas realizarem o pagamento.
Os ficheiros abaixo deste tamanho encontram-se efetivamente encriptados, e podem ser desbloqueados com as ferramentas próprias. Mas acima disso serão permanentemente destruídos.
De notar que este formato de funcionamento foi especificamente criado pelo grupo para o ransomware, portanto não se trata de um bug no sistema de encriptação, mas algo implementado para prejudicar as vítimas mesmo que paguem o resgate.