A última versão do ransomware GandCrab , nomeadamente versão 3, bloqueia os sistemas Windows 7 infectados.

Não foi assim há tantos dias que investigadores da empresa de segurança Fortinet descobiram uma nova campanha de ransomware via engenharia social e que utilizava como “arma destrutiva” uma nova versão do ransomware GandCrab, nomeadamente a sua nova versão 3.0.

O GandCrab, como tantos outros ransomwares — Locky e o Sage — também altera os desktops dos sistemas operativos infetados. No entanto, os investigadores que analisarem o malware detetaram que um falha na conceção do malware poderia afetar acidentalmente os sistemas comprometidos que executam o Windows 7 em específico (Windows 8 e 10 não são afetados).

O vetor de ataque centra-se nas mensagens de spam aproveitando os Scripts do Visual Basic como droppers em vez do Java Script.

“After this malware has encrypted the victim’s files, it forces the system to reboot. On our tests with Windows 10 and Windows 8.1 systems, the malware was able to change the wallpaper and the systems were able to start up normally, as expected. ” reads the analysis published by Fortinet.

“On Windows 7 however, for some reason booting does not finish but instead gets stuck at a point before the Windows Shell is completely loaded. That means an infected user would not have the Windows interface to interact with, rendering the entire machine seemingly unusable – reminiscent of the old lock screen ransomware behaviour. Only the ransom note wallpaper and TOR Browser download site can be seen by the user.”

GandCrab-ransomware

A falha não foi intencional porque as instruções na nota de resgate informam a vítima para ler uma cópia de um dos bilhetes de resgate “CRAB-DECRYPT.txt” deixados no sistema infectado para que ela obtenha as instruções de pagamento.

No entanto, os utilizadores do Windows 7 não conseguem fazê-lo, porque o sistema bloqueia-a, e portanto não conseguem pagar o resgate.

As vítimas podem forçar a reinicialização a continuar ativando o Gerenciador de Tarefas usando a combinação de teclas CTRL + SHIFT + DEL, depois matando o processo associado ao malware e reinicializando o sistema. No entanto, isso pode não resolver o problema devido ao mecanismo de persistência implementado pelo malware.

As vítimas podem terminar o processo malicioso acedendo a gestão de tarefas do SO, usando a combinação de teclas CTRL + SHIFT + DEL, e depois “matar” o processo associado ao malware e depois, reniciar o sistema operativo. No entanto, isso pode não resolver o problema devido ao mecanismo de persistência implementado pelo malware.

Mas … existe uma solução, um elixir eficaz!

A única maneira que as vítimas têm para impedir que a “block window” apareça nas reinicializações consequentes é excluir o executável do malware do APPDATA% \ Microsoft \ <chars aleatórios> .exe.

As vítimas também devem excluir o registoo de execução automática associado ao ransomware.

“Seeing a ransom note and realizing that all of your files are gone is frustrating on so many levels. And it’s even more frustrating (if that’s even possible) when on top of that you also lose your access to the machine. Malware flaws with unintended consequences are really quite common, which is another reason why being extra cautious with unsolicited emails is very important.” concludes Fortinet. “As a general rule, any unexpected emails with attachments (an executable or a document) must be scanned and verified first before opening. And as always, create isolated backups for your important files.”