A equipe MalwareHunterTeam alertou recentemente para o novo ransomware Fox. Este ransomware adiciona a extensão .FOX aos arquivos criptografados.
Um detalhe interessante sobre o ransomware é que ele verifica se todos os arquivos que serão criptografados não estão abertos, o que torna o processo todo muito mais lento.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.
Acesse o portal clicando aqui.
Novo ransomware Fox é baseado no ransomware Matrix
De acordo com a equipe MalwareHunterTeam, o ransomware Fox é baseado no ransomware Matrix e é instalado nos computadores via RDP (Remote Desktop Protocol). Os criminosos varrem a internet em busca de faixas de endereços IP para encontrar computadores com serviços de área de trabalho remota habilitados e usam a técnica conhecida como “brute force” para obter as senhas.
Com o acesso ao computador garantido, o ransomware Fox é instalado manualmente. Assim como o Matrix, o Fox entra em contato com o servidor de comando e controle dos criminosos para enviar e receber informações.
Quando o processo de criptografia é iniciado, o ransomware exibirá as duas janelas de status abaixo para que o atacante possa monitorar o processo:
A janela da esquerda exibe o status do processo da criptografia dos arquivos e a outra exibe endereços de rede verificados em busca de drives compartilhados.
O ransomware também utiliza um arquivo de lote que remove todos os atributos dos arquivos, altera suas permissões antes do processo de criptografia ser iniciado.
Para cada arquivo encontrado, o ransomware Fox executará o arquivo de lote mencionado acima e iniciará o processo de criptografia. O arquivo criptografado receberá então a extensão .FOX. Por exemplo, um arquivo foto.jpg criptografado será renomeado como [PabFox@protonmail.com ].cAE5V4FC-wwWa0jxY.FOX:
Em cada pasta contendo os arquivos criptografados, o ransomware criará o pedido de resgate com o nome #FOX_README$.rtf. Este arquivo contém as informações para entrar em contato com o atacante e assim receber as informações para o pagamento do resgate. Os endereços de email listados no pedido de resgate são o PabFox@protonmail.com, FoxHelp@cock.li e o FoxHelp@tutanota.com:
A imagem de fundo da área de trabalho será alterada para uma versão resumida do pedido de resgate:
Quando o processos de criptografia dos arquivos é concluído, o ransomware Fox colocará um arquivo com extensão .vbs na pasta %AppData%. Este arquivo será executado para registrar uma tarefa agendada chamada DSHCA.
Esta tarefa agendada é usada para executar um arquivo de lote com privilégios administrativos que fará uma limpeza no computador e desativará diversas funções de reparo.
Também localizado na pasta %AppData%, este arquivo de lote apagará as cópias de sombra de volume dos arquivos usando WMIC, PowerShell e vssadmin, removerá as opções de recuperação da inicialização do Windows e apagará o arquivo .vbs mencionado acima, a tarefa agendada e ele próprio.
A recomendação dos profissionais de segurança é que os usuários sempre façam o backup de seus arquivos e mantenham o sistema operacional, softwares de segurança e os outros softwares instalados sempre atualizados, já que ainda não existe uma forma de recuperar os arquivos criptografados por este ransomware sem pagar o resgate para os criminosos.
O post Novo ransomware Fox é baseado no ransomware Matrix apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br