[:pb]Nova versão do ransomware SynAck[:]

coisasdeti.com.br

[:pb]Pesquisadores de segurança alertaram recentemente para uma nova versão do ransomware SynAck que faz uso da técnica conhecida como “Process Doppelgänging”.

Process Doppelgänging é uma técnica de injeção de código que abusa de certos mecanismos do sistema de arquivos NTFS do Windows para criar e ocultar processos maliciosos e assim evitar a detecção por softwares antivírus.

Esta técnica foi apresentada publicamente durante uma conferência de segurança em dezembro de 2017 e a nova versão do SynAck é o primeiro ransomware a fazer uso dela.

 O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.

Acesse o portal clicando aqui.

Nova versão do ransomware SynAck

De acordo com os pesquisadores de segurança da Kaspersky, a nova versão do ransomware SynAck usa o esquema de criptografia ECIES-XOR-HMAC-SHA1 e os arquivos criptografados recebem uma extensão composta por 10 caracteres aleatórios.

Ele também encerra certos processos do Windows para que os softwares em execução não interfiram com o processo de criptografia e limpa os logs de eventos para prevenir análise forense.

Outro detalhe é que o ransomware exibe uma notificação sobre o bloqueio dos arquivos do usuário na tela de login:

Pesquisadores alertam para nova versão do ransomware SynAck

O pedido de resgate do ransomware pode ser visto abaixo:

Synack Ransom Note

Mais detalhes podem ser encontrados no relatório da Kaspersky publicado aqui.

via Baboo[:]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *