Ir para conteúdo
Baboo

Novo ransomware Fox é baseado no ransomware Matrix

Mensagem Recomendada

A equipe MalwareHunterTeam alertou recentemente para o novo ransomware Fox. Este ransomware adiciona a extensão .FOX aos arquivos criptografados.

Um detalhe interessante sobre o ransomware é que ele verifica se todos os arquivos que serão criptografados não estão abertos, o que torna o processo todo muito mais lento.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a McAfee.

Acesse o portal clicando aqui.

Novo ransomware Fox é baseado no ransomware Matrix

De acordo com a equipe MalwareHunterTeam, o ransomware Fox é baseado no ransomware Matrix e é instalado nos computadores via RDP (Remote Desktop Protocol). Os criminosos varrem a internet em busca de faixas de endereços IP para encontrar computadores com serviços de área de trabalho remota habilitados e usam a técnica conhecida como “brute force” para obter as senhas.

Com o acesso ao computador garantido, o ransomware Fox é instalado manualmente. Assim como o Matrix, o Fox entra em contato com o servidor de comando e controle dos criminosos para enviar e receber informações.

Quando o processo de criptografia é iniciado, o ransomware exibirá as duas janelas de status abaixo para que o atacante possa monitorar o processo:

Fox Status

A janela da esquerda exibe o status do processo da criptografia dos arquivos e a outra exibe endereços de rede verificados em busca de drives compartilhados.

O ransomware também utiliza um arquivo de lote que remove todos os atributos dos arquivos, altera suas permissões antes do processo de criptografia ser iniciado.

Para cada arquivo encontrado, o ransomware Fox executará o arquivo de lote mencionado acima e iniciará o processo de criptografia. O arquivo criptografado receberá então a extensão .FOX. Por exemplo, um arquivo foto.jpg criptografado será renomeado como [PabFox@protonmail.com ].cAE5V4FC-wwWa0jxY.FOX:

Novo ransomware Fox é baseado no ransomware Matrix

Em cada pasta contendo os arquivos criptografados, o ransomware criará o pedido de resgate com o nome #FOX_README$.rtf. Este arquivo contém as informações para entrar em contato com o atacante e assim receber as informações para o pagamento do resgate. Os endereços de email listados no pedido de resgate são o PabFox@protonmail.com, FoxHelp@cock.li e o FoxHelp@tutanota.com:

Fox Ransom Note Redacted

A imagem de fundo da área de trabalho será alterada para uma versão resumida do pedido de resgate:

Fox Background

Quando o processos de criptografia dos arquivos é concluído, o ransomware Fox colocará um arquivo com extensão .vbs na pasta %AppData%. Este arquivo será executado para registrar uma tarefa agendada chamada DSHCA.

Esta tarefa agendada é usada para executar um arquivo de lote com privilégios administrativos que fará uma limpeza no computador e desativará diversas funções de reparo.

Também localizado na pasta %AppData%, este arquivo de lote apagará as cópias de sombra de volume dos arquivos usando WMIC, PowerShell e vssadmin, removerá as opções de recuperação da inicialização do Windows e apagará o arquivo .vbs mencionado acima, a tarefa agendada e ele próprio.

A recomendação dos profissionais de segurança é que os usuários sempre façam o backup de seus arquivos e mantenham o sistema operacional, softwares de segurança e os outros softwares instalados sempre atualizados, já que ainda não existe uma forma de recuperar os arquivos criptografados por este ransomware sem pagar o resgate para os criminosos.

O post Novo ransomware Fox é baseado no ransomware Matrix apareceu primeiro em BABOO.

Ler artigo completo


[]s
 
Aurélio “Baboo”

baboo-assinatura-forum.png

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.

×