De acordo com informações recentes, o novo ransomware Qwerty está utilizando o programa GnuPG para criptografar os arquivos do usuário no computador infectado.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário
Para quem não sabe, o GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. O fato do Qwerty usar este programa não é bem uma novidade – ele já foi usado por ransomwares como o VaultCrypt e KeyBTC.
O novo ransomware foi descoberto originalmente pelo MalwareHunterTeam e aparentemente é instalado manualmente pelo atacante quando ele acessa o computador da vítima via Remote Desktop Services.
O ransomware Qwerty é composto por um pacote contendo diversos arquivos individuais que são executados juntos para criptografar os arquivos no computador.
O pacote inclui o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:
O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware:
Quando o key.bat é executado, as chaves serão importadas como mostrado na imagem abaixo:
Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.
O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:
taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin
Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:
gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”
Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty:
Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:
shred -f -u -n 1 “%s%s”
É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.
O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento:
No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.
‘Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário
O post Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br