Uma nova linhagem do ransomware Snatch, que reinicia os computadores que infecta no modo de segurança, a fim de desviar das soluções de segurança, foi descoberta por pesquisadores de segurança da equipe de resposta de ameaças gerenciadas da Sophos e da SophosLabs.
Ao fazer com que os dispositivos Windows infectados sejam inicializados no Modo de Segurança, o ransomware pode criptografar os arquivos da vítima, pois a maioria das ferramentas de segurança é automaticamente desabilitada no Modo de Segurança.
Embora o ransomware Snatch tenha sido escrito na multiplataforma do Google linguagem de programação Go, os pesquisadores explicaram em um post no blog que ele só pode ser executado em dispositivos Windows, dizendo:
"O malware que observamos não é capaz de executar em plataformas diferentes do Windows. O Snatch pode ser executado nas versões mais comuns do Windows, de 7 a 10, nas versões de 32 e 64 bits. As amostras que vimos também são fornecidas com o empacotador de código aberto UPX para ofuscar seu conteúdo ".
O ransomware Snatch foi lançado no final de 2018, mas tornou-se visivelmente ativo em abril deste ano como resultado de um aumento nas notas de resgate e nas amostras de arquivos criptografados que foram submetidos à plataforma ID Ransomware de Michael Gillepsie.
Snatch ransomware
Para tirar proveito do fato de as soluções anti-malware não serem carregadas no Modo de Segurança, o componente Snatch ransomware se instala como um serviço do Windows chamado SuperBackupMan, que pode ser executado no Modo de Segurança e também não pode ser parado ou pausado .
O SuperBackupMan, em seguida, força reinicia a máquina comprometida e, uma vez no Modo de Segurança, o Snatch ransomware exclui “todas as cópias de sombra de volume no sistema”, de acordo com os pesquisadores, o que impede a “recuperação forense dos arquivos criptografados pelo ransomware”.
Agora que a recuperação dos arquivos sem pagamento é impossível, o malware começará a criptografar os arquivos de suas vítimas.
Para evitar ser vítima do ransomware Snatch, a Sophos recomenda que as organizações não exponham seus serviços de área de trabalho remota à Internet ou tentem protegê-los usando uma VPN. A empresa também sugere que as empresas utilizem autenticação multifator para proteger contas de administrador contra ataques de força bruta.
Via Computador Bleeping
Postar um comentário