[:pb]A equipe MalwareHunterTeam alertou recentemente para o novo ransomware Zenis. Um detalhe sobre ele é que além de criptografar os arquivos do usuário, ele também apaga os backups.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Ransomware Zenis
Quando a equipe MalwareHunterTeam encontrou a primeira amostra do ransomware Zenis, ela descobriu que o malware utilizava um método de criptografia personalizado.
A versão mais recente, que é a mencionada neste post, utiliza criptografia AES.
No momento ainda não existe uma forma de remover a criptografia dos arquivos criptografados pelo ransomware, mas o pesquisador de segurança já está analisando o Zenis em busca de algo que possa ajudar a criar uma ferramenta gratuita para isso.
Quando executado pela primeira vez, a versão mais recente do ransomware Zenis executará duas verificações antes de iniciar o processo de criptografia dos arquivos.
A primeira verifica a presença do arquivo iis_agent32.exe no computador e a segunda procura pela seguinte chave no Registro com valor definido como “Active”:
HKEY_CURRENT_USER\SOFTWARE\ZenisService
Se o arquivo iis_agent32.exe não for encontrado no computador, o ransomware encerrará o processo e não criptografará os arquivos.
Se as duas verificações forem bem-sucedidas, ele começará a preparar o “pedido de resgate” preenchendo informações como email e dados criptografados.
Depois das etapas acima, o ransomware Zenis executará os seguintes comandos para apagar as Cópias de Sombra de Volume, desativar o repara de inicialização e limpar os registros de eventos:
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
Depois ele procurará e encerrará os seguintes processos:
– sql
– taskmgr
– regedit
– backup
Feito isso, o ransomware começará a criptografar os arquivos no computador, que receberão a extensão Zenis-[2 caracteres aleatórios].[12 caracteres aleatórios].
O ransomware pode criptografar os arquivos com as seguintes extensões:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Enquanto procura pelos arquivos que serão criptografados, o ransomware também procura pelos backups associados a eles. Se forem localizados, eles serão sobrescritos três vezes e então apagados.
Extensões dos arquivos de backup que podem ser sobrescritos e apagados pelo ransomware:
.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm
Enquanto o processo de criptografia está em andamento, o ransomware criará o arquivo Zenis-Instructions.html com o “pedido de resgate”:
Os pesquisadores de segurança recomendam que as vítimas jamais paguem o resgate aos criminosos, já que não há nenhuma garantia de que eles poderão desbloquear os arquivos.
via Baboo[:]