[:pb]Pesquisadores de segurança alertaram recentemente para uma nova versão do ransomware SynAck que faz uso da técnica conhecida como “Process Doppelgänging”.
Process Doppelgänging é uma técnica de injeção de código que abusa de certos mecanismos do sistema de arquivos NTFS do Windows para criar e ocultar processos maliciosos e assim evitar a detecção por softwares antivírus.
Esta técnica foi apresentada publicamente durante uma conferência de segurança em dezembro de 2017 e a nova versão do SynAck é o primeiro ransomware a fazer uso dela.
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Nova versão do ransomware SynAck
De acordo com os pesquisadores de segurança da Kaspersky, a nova versão do ransomware SynAck usa o esquema de criptografia ECIES-XOR-HMAC-SHA1 e os arquivos criptografados recebem uma extensão composta por 10 caracteres aleatórios.
Ele também encerra certos processos do Windows para que os softwares em execução não interfiram com o processo de criptografia e limpa os logs de eventos para prevenir análise forense.
Outro detalhe é que o ransomware exibe uma notificação sobre o bloqueio dos arquivos do usuário na tela de login:
O pedido de resgate do ransomware pode ser visto abaixo:
Mais detalhes podem ser encontrados no relatório da Kaspersky publicado aqui.
via Baboo[:]