Os especialistas da Kaspersky descobriram um novo ransomware: CryWiper. Ele inicialmente age como um software de criptografia. Mas os dados não são criptografados, mas substituídos por dados aleatórios. Pagar o resgate é inútil.
Os especialistas da Kaspersky descobriram um ataque de um novo Trojan, que eles apelidaram de CryWiper. À primeira vista, este malware se parece com ransomware: ele modifica arquivos, adiciona uma extensão .CRY (exclusiva para CryWiper) a eles e salva um arquivo README.txt com uma nota de resgate contendo o endereço da carteira Bitcoin, o endereço de e-mail de contato dos criadores do malware e o ID da infecção.
CryWiper: Sobrescrever em vez de criptografar
Na verdade, porém, esse malware é um limpador: um arquivo modificado pelo CryWiper nunca pode ser restaurado ao seu estado original. Portanto, quem vir uma nota de resgate e os arquivos tiverem uma nova extensão .CRY, não se apresse em pagar o resgate - é inútil.
No passado, houve algumas cepas de malware que acidentalmente se tornaram limpadores - devido a erros cometidos por seus criadores que implementaram algoritmos de criptografia mal. No entanto, desta vez não é o caso: os especialistas da Kaspersky estão confiantes de que o principal objetivo dos invasores não é o ganho financeiro, mas a destruição de dados. Os arquivos não são realmente criptografados; Em vez disso, o cavalo de Tróia os sobrescreve com dados gerados de forma pseudoaleatória.
O que o CryWiper está realmente procurando
O Trojan corrompe todos os dados que não são vitais para o funcionamento do sistema operacional. Ele não afeta arquivos com extensões .exe, .dll, .lnk, .sys ou .msi e ignora várias pastas do sistema no diretório C:\Windows. O malware se concentra em bancos de dados, arquivos e documentos do usuário.
Como funciona o Trojan CryWiper
Além de sobrescrever diretamente o conteúdo dos arquivos com lixo, o CryWiper também faz o seguinte:
- crie uma tarefa com o agendador de tarefas que reinicia o limpador a cada cinco minutos;
- envia o nome do computador infectado para o servidor C&C e aguarda um comando para lançar um ataque;
- interrompe processos relacionados a: servidores de banco de dados MySQL e MS SQL, servidores de correio MS Exchange e serviços web MS Active Directory (caso contrário, o acesso a alguns arquivos seria bloqueado e seria impossível danificá-los);
- exclui cópias de sombra de arquivos para que não possam ser recuperados (mas apenas na unidade C: por algum motivo);
- desativa a conexão com o sistema afetado por meio do protocolo de acesso remoto RDP.
O objetivo deste último não é totalmente claro. Talvez, ao desativá-lo dessa forma, os autores do malware tenham tentado complicar o trabalho da equipe de resposta a incidentes, que claramente preferiria o acesso remoto à máquina afetada - eles precisariam ter acesso físico a ela.
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/