Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware

De acordo com informações recentes, a versão 1.5 do ransomware Kraken está usando uma nova tática para tentar enganar os usuários: ele se disfarça como o programa SuperAntiSpyware.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.

Acesse o portal clicando aqui.

Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware

Descoberta pela equipe MalwareHunterTeam nesta sexta-feira, a versão 1.5 do Kraken está sendo distribuída através de links com o mesmo domínio do SuperAntiSpyware. Na imagem abaixo é possível ver os links reportados ao serviço VirusTotal:

Mestre Jedi Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware  O nome do arquivo do SuperAntiSpyware legítimo é SUPERAntiSpyware.exe, enquanto que o instalador falso com o ransomware é SUPERAntiSpywares.exe. A única diferença visível entre os dois é o “s” no final do nome do executável malicioso, o que é um problema para usuários mais desatentos. O instalador falso também usa o mesmo ícone:

Mestre Jedi Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware

É importante destacar que o executável SUPERAntiSpyware.exe não foi comprometido e continua instalando o software legítimo. Por isso os usuários que instalaram esta versão usando links oficiais não precisam se preocupar.

Quando executada, a versão 1.5 do ransomware Kraken executará uma série de tarefas antes de iniciar o processo de criptografia dos arquivos.

Ele criará e executará um arquivo chamado Safe.exe na pasta C:ProgramData. Este arquivo por sua vez enumerará uma lista com todos os registros de eventos do Visualizador de Eventos do Windows que será salva como EventLog.txt também na pasta C:ProgramData com o comando abaixo:

C:Windowssystem32cmd.exe /c wevtutil.exe enum-logs > "C:ProgramDataEventLog.txt"

Em seguida ele removerá todos os registros listados no arquivo mencionado acima.

O ransomware também verificará o idioma e região da vítima e se ela estiver em um dos países abaixo, os arquivos não serão criptografados:

Armênia, Azerbaijão, Bielorrússia, Estônia, Geórgia, Irã, Quirguistão, Cazaquistão, Lituânia, Letônia, Moldávia, Rússia, Tajiquistão, Turquemenistão, Ucrânia, Uzbequistão e Brasil.

O ransomware também encerrará os seguintes processos caso eles estejam ativos:

agntsvcagntsvc, agntsvcencsvc, agntsvcisqlplussvc, dbeng50, dbsnmp, firefoxconfig, msftesql, mydesktopqos, mydesktopservice, mysqld, mysqld-nt, mysqld-opt, ocomm, ocssd, oracle, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, sqlwriter, sqlwb, synctime, tbirdconfig e xfssvccon.

O ransomware então criptografará arquivos com as seguintes extensões:

1cd. 3dm. 3ds. 3fr. 3g2. 3gp. 3pr. 7z. 7zip. aac. ab4. abd. accdb. accde. accdr. accdt. ach. acr. act. adb. adp. ads. agdl. ai. aiff. ait. al. aoi. apj. arw. ascx. asf. asm. asp. aspx. asx. atb. avi. awg. back. backup. backupdb. bak. bank. bay. bdb. bgt. bik. bin. bkp. blend. bmp. bpw. c. cdb. cdf. cdr. cdr3. cdr4. cdr5. cdr6. cdrw. cdx. ce1. ce2. cer. cfg. cfn. cgm. cib. class. cls. cmt. config. contact. cpi. cpp. cr2. craw. crt. crw. cs. csh. cs. csl. css. csv. dac. dat. db. db3. dbf. dbx. db_journal. dc2. dcr. dcs. ddd. ddoc. ddrw. dds. def. der. des. design. dgc. dit. djvu. dng. doc. docm. docx. dot. dotm. dotx. drf. drw. dtd. dwg. dxb. dxf. dxg. edb. eml. eps. erbsql. erf. exf. fdb. ffd. fff. fh. fhd. fla. flac. flb. flf. flv. flvv. fpx. fxg. gif. gray. grey. groups. gry. h. hbk. hdd. hpp. html. ibank. ibd. ibz. idx. iif. iiq. incpas. indd. info. info_. ini. jar. java. jnt. jpe. jpeg. jpg. js. json. kc2. kdbx. kdc. key. kpdx. kwm. laccdb. lck. ldf. lit. lock. log. lua. m. m2ts. m3u. m4p. m4v. mab. mapimail. max. mbx. md. mdb. mdc. mdf. mef. mfw. mid. mkv. mlb. mmw. mny. moneywell. mos. mov. mp3. mp4. mpeg. mpg. mrw. msf. msg. myd. nd. ndd. ndf. nef. nk2. nop. nrw. ns2. ns3. ns4. nsd. nsf. nsg. nsh. nvram. nwb. nx2. nxl. nyf. oab. obj. odb. odc. odf. odg. odm. odp. ods. odt. ogg. oil. omg. orf. ost. otg. oth. otp. ots. ott. p7b. p7c. p12. pab. pages. pas. pat. pbf. pcd. pct. pdb. pdd. pdf. pef. pem. pfx. php. pif. pl. plc. plus_muhd. pm!. pm. pmi. pmj. pml. pmm. pmo. pmr. pnc. pnd. png. pnx. pot. potm. potx. ppam. pps. ppsm. ppsm. ppsx. ppt. pptm. pptm. pptx. prf. ps. psafe3. psd. pspimage. pst. ptx. pwm. py. qba. qbb. qbm. qbr. qbw. qbx. qby. qcow. qcow2. qed. qtb. r3d. raf. rar. rat. raw. rdb. rm. rtf. rvt. rw2. rwl. rwz. s3db. safe. sas7bdat. sav. save. say. sd0. sda. sdb. sdf. sh. sldm. sldx. sql. sqlite. sqlite-shm. sqlite-wal. sqlite3. sqlitedb. sr2. srb. srf. srs. srt. srw. st4. st5. st6. st7. st8. stc. std. sti. stm. stw. stx. svg. swf. sxc. sxd. sxg. sxi. sxm. sxw. tbb. tbn. tex. tga. thm. tlg. tlx. txt. usr. vbox. vdi. vhd. vhdx. vmdk. vmsd. vmx. vmxf. vob. wab. wad. wallet. war. wav. wb2. wma. wmf. wmv. wpd. wps. x3f. x11. xis. xla. xlam. xlk. xlm. xlr. xls. xlsb. xlsm. xlsx. xlt. xltm. xltx. xlw. xml. ycbcra. yuv. e .zip

Os arquivos criptografados pelo ransomware Kraken recebem um nome com o formato 00000000-Lock.onion:

Mestre Jedi Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware

O pedido de resgate com o nome # How to Decrypt Files.html será criado em todas as pastas e inclui o id único da vítima e instruções para pagamento de 0,125 bitcoin.

No momento não é possível recuperar os arquivos criptografados sem pagar os resgate aos criminosos.

O post Nova versão do ransomware Kraken se disfarça como o SuperAntiSpyware apareceu primeiro em BABOO.

Artigo original:
www.baboo.com.br