O novo malware CryWiper corrompe arquivos que se apresentam como ransomware de forma irreversível.
Nossos especialistas descobriram um ataque de um novo Trojan, que eles apelidaram de CryWiper. À primeira vista, este malware se parece com ransomware: ele modifica arquivos, adiciona uma extensão adicional a eles e salva um arquivo README.txt com uma nota de resgate, que contém o endereço da carteira bitcoin, o endereço de e-mail de contato dos criadores do malware e o ID da infecção. No entanto, na verdade, esse malware é um wiper: um arquivo modificado pelo CryWiper não pode ser restaurado ao seu estado original — nunca. Portanto, se você vir uma nota de resgate e seus arquivos tiverem uma nova extensão .CRY, não se apresse em pagar o resgate: é inútil.
No passado, vimos alguns tipos de malware que se tornaram wipers por acidente – devido a erros de seus criadores que implementaram mal os algoritmos de criptografia. No entanto, desta vez não é o caso: nossos especialistas estão confiantes de que o principal objetivo dos invasores não é o ganho financeiro, mas a destruição de dados. Os arquivos não são realmente criptografados; em vez disso, o cavalo de Tróia os substituiu com dados gerados de forma pseudoaleatória.
O que o CryWiper está buscando
O Trojan corrompe todos os dados que não são vitais para o funcionamento do sistema operacional. Não afeta arquivos com extensões .exe, .dll. .lnk, .sys ou .msi e ignora várias pastas do sistema no diretório C:\Windows. O malware se concentra em bancos de dados, arquivos e documentos do usuário.
Até agora, nossos especialistas viram apenas ataques pontuais contra alvos da Federação Russa. No entanto, como sempre, ninguém pode garantir que o mesmo código não seja usado contra outros alvos.
Como funciona o trojan CryWiper
Além de substituir diretamente o conteúdo dos arquivos com lixo, o CryWiper também faz o seguinte:
- cria uma tarefa que reinicia o wiper a cada cinco minutos usando o Agendador de Tarefas;
- envia o nome do computador infectado para o servidor de comando e controle (C&C) e aguarda um comando para iniciar um ataque;
- interrompe processos relacionados a: servidores de banco de dados MySQL e MS SQL, servidores de correio MS Exchange e serviços web MS Active Directory (caso contrário, o acesso a alguns arquivos seria bloqueado e seria impossível corrompê-los);
- exclui cópias de arquivos duplicados para que não possam ser restaurados (mas por algum motivo apenas na unidade C:);
- desabilita a conexão com o sistema afetado via protocolo de acesso remoto RDP.
O objetivo deste último ponto não é totalmente evidente. Talvez, com essa desativação, os autores do malware tenham tentado complicar o trabalho da equipe de resposta a incidentes, que claramente preferiria ter acesso remoto à máquina afetada – eles teriam que obter acesso físico a ela. Você pode encontrar detalhes técnicos do ataque junto com indicadores de comprometimento em uma publicação no Securelist (somente disponível no idioma russo).
Mantenha-se seguro
ara proteger os computadores da sua empresa contra ransomware e wipers, nossos especialistas recomendam as seguintes medidas:
- controle cuidadosamente as conexões de acesso remoto à sua infraestrutura: proíba conexões de redes públicas, permita acesso RDP somente por meio de um túnel VPN e use senhas fortes exclusivas e autenticação de dois fatores;
- atualize software crítico em tempo hábil, com atenção especial ao sistema operacional, soluções de segurança, clientes VPN e ferramentas de acesso remoto;
- aumente a conscientização de segurança de seus funcionários, por exemplo, usando ferramentas online especializadas;
- utilize soluções de segurança avançadas para proteger tanto os dispositivos de trabalho quanto o perímetro da rede corporativa.
Fonte: https://www.kaspersky.com.br/blog/crywiper-pseudo-ransomware/20458/