Novo ransomware reinicia PC em ‘modo de segurança’

Ao se comportar desta forma, malware dribla a proteção do antivírus instalado na máquina
Vinicius Szafran12/12/2019 18h05, atualizada em 12/12/2019 19h10

20191212032809

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Uma equipe de pesquisadores de segurança cibernética da Sophos tornou pública a existência de uma nova variedade de ransomware Snatch, que utiliza um comportamento novo nesse malware: reinicia o computador infectado no “modo de segurança” antes de iniciar a criptografia do disco rígido.

Os pesquisadores afirmam que o motivo dessa estratégia inovadora seria contornar os antivírus instalados nos computadores, já que a proteção em tempo real não inicia nesse modo (no modo de segurança, o Windows inicia apenas os componentes estritamente necessários para funcionar, independentemente de vários serviços e drivers).

A versão original desse ransomware é conhecida há um ano, mas este novo Snatch usa uma chave do Registro do Windows para programar o processo de criptografia, o que torna impossível para o antivirus detectar ou interromper a ação.

Outra particularidade desse Snatch é que ele não apenas criptografa as informações do disco rígido das vítimas, mas também rouba os dados pessoais. Isso o torna uma das mais perigosas variedades de ransomware em circulação na internet.

A “boa” notícia é que ele não está sendo usado para atacar usuários domésticos através de campanhas de spam. Na realidade, seus criadores atacam objetivos governamentais e corporativos cuidadosamente selecionados, e exigem resgates entre US$ 2 mil e US$ 35 mil em bitcoins.

Esse malware funciona apenas no Windows, a partir da versão 7, nas edições de 32 e 64 bits. Ele é programado com o idioma Go do Google e empacotado usando UPX para ocultar seu conteúdo. O ransomware utiliza ferramentas como o Cobalt Strike para explorar as vulnerabilidades de cada sistema. Além disso, é instalado como um serviço do Windows, chamado SuperBackupMan, responsável por instalar a chave do registro e reiniciá-la no modo de segurança.

Para evitar ser vítima do Snatch, a Sophos recomenda não deixar a interface da área de trabalho remota desprotegida e defender ferramentas semelhantes, como o VNC e o TeamViewer, além de usar sistemas de autenticação multifatorial para impedir ataques de força bruta.

Via: Genbeta

Vinicius Szafran
Colaboração para o Olhar Digital

Vinicius Szafran é colaboração para o olhar digital no Olhar Digital