• Criar uma VM no Virtual Box, Proxmox, VirtManager ou Hyper-V sem placa de rede (opcional, download de uma imagem pronta para importar no VirtualBox ou converter https://github.com/ivandroconradi/winxpimage)
• Criar um snapshot
• Fazer o download do KMS Pico, das amostras dos Ransonware e descompactar com a senha “infected”
• Depois da instalação ou importação do Windows, verificar novamente se a VM está sem placa de rede e isolada
• Criar um novo snapshot
• Analisar e corrigir caso necessário o registro do Windows com o Ccleaner
• Instalar o KMS e verificar as alterações feitas no registro do Windows
• Com o programa Network Traffic View, visualizar as tentativas de comunicação com a internet durante a execução do KMS
• Analisar o registro do Windows com o Ccleaner novamente
• Executar e acompanhar as novas mudanças no regedit e o que o ransomware tentou comunicar na internet
• Voltar o snapshot, instalar o BitDefender e realizar novamente os testes. Depois pode instalar outros antivírus para analisar. Teste o antivírus com a opção contra ransomware desativada e também com ela ativada para observar a reação.
• Melhorar esta lista de testes com mais sugestões

https://learn.microsoft.com/pt-br/sysinternals/downloads/procmon

https://learn.microsoft.com/pt-br/sysinternals/downloads/autoruns

https://learn.microsoft.com/pt-br/sysinternals/downloads/listdlls

https://learn.microsoft.com/pt-br/sysinternals/downloads/diskmon

https://learn.microsoft.com/pt-br/sysinternals/downloads/process-explorer

https://learn.microsoft.com/pt-br/windows-server/administration/windows-commands/reg-compare

https://sourceforge.net/projects/regshot/

http://www.nirsoft.net/utils/ http://www.nirsoft.net/utils/registrychangesview-x64.zip

https://learn.microsoft.com/pt-br/windows-server/administration/windows-commands/fc

http://www.nirsoft.net/utils/network_traffic_view.html

As principais formas de contaminação do cryptowall por fraude são:

Aviso de faturas;
Pedidos de compra;
Reclamações de clientes;
Cliques em anúncios fraudulentos;
Demais comunicações de negócios.

Normalmente os arquivos maliciosos de cryptowall são instalados nos % ou %temp% ou então em pastas % AppData.

A partir do momento em que a infecção é realizada, o malware irá analisar todas as informações disponíveis no disco rígido e realizará a criptografia das informações.

O cryptowall também vasculha as unidades removíveis, podendo inutilizar pen drives, cartões de memória e HDs externos que estejam conectados à máquina. Ele pode infectar todas as unidades de rede mapeadas como uma letra de unidade na máquina infectada.

Locky é um tipo de ransomware utilizado em ataques de 2016, por todo o mundo. Ele tem a capacidade de criptografar mais de 160 tipos de arquivos, e é instalado ao enganar as vítimas, que acreditam estar abrindo e-mails íntegros, mas que, na verdade, são criminosos. Seus anexos, com ransomware, são de um método denominado phishing.

O Jigsaw ameaça excluir arquivos caso o resgate não seja pago dentro de um período estabelecido. Diferente de outros ransomware, o Jigsaw impede que a vítima reinicie o computador ao ser infectado, ameaçando excluir os arquivos caso a pessoa faça essa operação.

O Petya atinge sistemas inteiros de computador, criptografando todo o disco rígido da vítima, de forma semelhante ao GoldenEye; porém, atingindo o Master Boot Records. Ao sofrer o ataque, a vítima encontra, em sua tela inicial, o desenho de uma caveira com dois ossos cruzados.

É muito comum que esse tipo de ransomware se espalhe pelos departamentos de RH, a partir de e-mails falsos de solicitação de emprego, geralmente com um link infectado para o portfólio do suposto candidato.

https://www.securityreport.com.br/email/InfoSR2023.html

https://www.virustotal.com/gui/

https://id-ransomware.malwarehunterteam.com/index.php?lang=pt_PT

https://support.avast.com/pt-br/article/threat-lab-report-malware/#pc

https://github.com/ivandroconradi/theZoo/tree/master/malware/Binaries/Keylogger.Ardamax