Uma nova variante de ransomware está à solta!

Uma nova variante de ransomware está à solta!

23 de fevereiro de 2015

A equipe do PandaLabs descobriu recentemente o que parece ser uma nova variante de ransomware. O e-mail inclui um arquivo chamado “A transferência retornou o pagamento incorreto” e uma extensão .cmd que realmente esconde um executável.

Ao executar o arquivo, a seguinte notificação é exibida:

image002Um erro no arquivo e nada mais. Não acontece nada, certo? Na verdade sim. O que acontece é que o malware está criando uma pasta em segundo plano (C: xwintmp) e está baixando e executando uma série de arquivos.

Especificamente, crie os 5 arquivos a seguir:

· Chuingamshik -> Arquivo contendo a palavra “chuingamshik”, que provavelmente é o nome do projeto · filepas.asc -> Arquivo contendo a chave PGP calculada para o computador específico, bem como a nota de resgate · manager.exe -> Arquivo depositado por Transferência retornou payment.cmd incorreto e contendo a função maliciosa do malware · pgp.exe-> Arquivo que gera a chave PGP personalizada · rar.exe -> Arquivo que criptografa os arquivos na máquina

Para não despertar suspeitas e evitar a ação da proteção antivírus, o malware espera um pouco usando a função “hibernar” da API do Windows e, a seguir, começa a “criptografar” todos os arquivos do sistema:

Na verdade – e felizmente – não é um processo de criptografia real, mas o manager.exe começa a arquivar (ou colocar em arquivos “RAR” se você preferir) todos os arquivos do sistema com uma série de parâmetros e uma senha., Usando o versão de linha de comando do WinRAR.

O malware cria uma chave aleatória e única para cada processo de infecção, de forma que o valor de inicialização dessa chave é a API do Windows “GetCursorPos”. “GetCursorPos”, que é lançado 16 vezes, obtém as coordenadas X e Y do ponteiro do mouse em todos os momentos, tornando impossível adivinhar ou recuperar a chave.

No entanto, também há boas notícias. Enquanto o malware está “criptografando” os arquivos, é possível recuperar facilmente a senha da memória, como também mostrado na imagem acima. O valor que começa com 5F0 e termina com 131 é, na verdade, a senha usada para criptografar os arquivos. Por exemplo, você pode usar a ferramenta Process Explorer para determinar os argumentos da linha de comando e extrair a senha.

Conforme explicado acima, o arquivo filepas.asc contém a chave PGP + mais a nota de resgate, que é a seguinte:

Não pague o resgate. Restaure arquivos usando o Windows Volume Shadow Copy Service ou diretamente do backup.

Se você for rápido o suficiente, poderá obter a senha necessária e restaurar seus arquivos (não se esqueça de ‘encerrar’ o processo manager.exe depois de copiar a senha, ou ele continuará a criptografar o conteúdo do seu disco rígido).

[+] Videos de nuestro canal de YouTube