Não foi assim há tantos dias que investigadores da empresa de segurança Fortinet descobiram uma nova campanha de ransomware via engenharia social e que utilizava como “arma destrutiva” uma nova versão do ransomware GandCrab, nomeadamente a sua nova versão 3.0.
O GandCrab, como tantos outros ransomwares — Locky e o Sage — também altera os desktops dos sistemas operativos infetados. No entanto, os investigadores que analisarem o malware detetaram que um falha na conceção do malware poderia afetar acidentalmente os sistemas comprometidos que executam o Windows 7 em específico (Windows 8 e 10 não são afetados).
O vetor de ataque centra-se nas mensagens de spam aproveitando os Scripts do Visual Basic como droppers em vez do Java Script.
“After this malware has encrypted the victim’s files, it forces the system to reboot. On our tests with Windows 10 and Windows 8.1 systems, the malware was able to change the wallpaper and the systems were able to start up normally, as expected. ” reads the analysis published by Fortinet.
“On Windows 7 however, for some reason booting does not finish but instead gets stuck at a point before the Windows Shell is completely loaded. That means an infected user would not have the Windows interface to interact with, rendering the entire machine seemingly unusable – reminiscent of the old lock screen ransomware behaviour. Only the ransom note wallpaper and TOR Browser download site can be seen by the user.”
A falha não foi intencional porque as instruções na nota de resgate informam a vítima para ler uma cópia de um dos bilhetes de resgate “CRAB-DECRYPT.txt” deixados no sistema infectado para que ela obtenha as instruções de pagamento.
No entanto, os utilizadores do Windows 7 não conseguem fazê-lo, porque o sistema bloqueia-a, e portanto não conseguem pagar o resgate.
As vítimas podem forçar a reinicialização a continuar ativando o Gerenciador de Tarefas usando a combinação de teclas CTRL + SHIFT + DEL, depois matando o processo associado ao malware e reinicializando o sistema. No entanto, isso pode não resolver o problema devido ao mecanismo de persistência implementado pelo malware.
As vítimas podem terminar o processo malicioso acedendo a gestão de tarefas do SO, usando a combinação de teclas CTRL + SHIFT + DEL, e depois “matar” o processo associado ao malware e depois, reniciar o sistema operativo. No entanto, isso pode não resolver o problema devido ao mecanismo de persistência implementado pelo malware.
Mas … existe uma solução, um elixir eficaz!
A única maneira que as vítimas têm para impedir que a “block window” apareça nas reinicializações consequentes é excluir o executável do malware do APPDATA% \ Microsoft \ <chars aleatórios> .exe.
As vítimas também devem excluir o registoo de execução automática associado ao ransomware.
“Seeing a ransom note and realizing that all of your files are gone is frustrating on so many levels. And it’s even more frustrating (if that’s even possible) when on top of that you also lose your access to the machine. Malware flaws with unintended consequences are really quite common, which is another reason why being extra cautious with unsolicited emails is very important.” concludes Fortinet. “As a general rule, any unexpected emails with attachments (an executable or a document) must be scanned and verified first before opening. And as always, create isolated backups for your important files.”
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.