Início > Tutoriais > O que é o Snatch Ransomware e como removê-lo

O que é o Snatch Ransomware e como removê-lo

Por | 23 de dezembro de 2019 às 08:37

Parece que os desenvolvedores de crimeware nunca dormem quando as defesas aumentam. Eles estão sempre procurando maneiras diferentes de aperfeiçoar suas armas de ataque. Uma das técnicas mais recentes é uma variedade de ransomware que pode forçar um dispositivo Windows a reiniciar no Modo de Segurança antes do início da criptografia, com a intenção de contornar a proteção do ponto de extremidade.

Snatch Ransomware Como remover o destaque "width =" 1392 "height =" 984 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset =" https://www.aplicativosandroid.com/wp-content/uploads/2019/12/O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg 1392w, https://cdn.guidingtech.com/imager/media/assets /248987/snatch-ransomware-how-to-remove-featured_935adec67b324b146ff212ec4c69054f.jpg?1576568389 700w, https://cdn.guidingtech.com/imager/media/assets/248987/snatch-ransomware-how-to-remove910 jpg? 1576568390 500w, https://i1.wp.com/www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097477_420_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg?ssl=1 340w

Essa linhagem específica é conhecida como Snatch devido a seus autores, que se referem a si mesmos como a Equipe Snatch. Foi descoberto por pesquisadores da Sophos Labs, que delinearam sua descoberta juntamente com informações sobre como essas quadrilhas invadem empresas e outras entidades em sua lista de ocorrências.

Vamos explicar o que é o Snatch ransomware, como funciona e como você pode removê-lo de seus dispositivos.

O que é o Snatch Ransomware

O Snatch é uma nova variante de ransomware cujo executável força os dispositivos Windows a reiniciarem no Modo de Segurança, mesmo antes do início do processo de criptografia, em uma tentativa de ignorar a proteção de terminal que geralmente não é executada nesse modo.

Descoberto pelos pesquisadores da SophosLabs e pela equipe de Resposta à ameaça gerenciada da Sophos, o snatch ransomware está entre os vários componentes de constelação de malware usados ​​em uma série contínua de ataques cuidadosamente orquestrados, com extensa coleta de dados.

Snatch Ransomware Como remover Attack "width =" 1392 "height =" 928 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset =" https://www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097477_308_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg 1392w, https://cdn.guidingtech.com/imager/media/assets /249185/snatch-ransomware-how-to-remove-attack_935adec67b324b146ff212ec4c69054f.jpg?1576857722 700w, https://cdn.guidingtech.com/imager/media/assets/249185/snatch-ransomware-how-to-rr5d05. jpg? 1576857722 500w, https://i1.wp.com/www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097477_871_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg?ssl=1 340w

A nova variedade do ransomware usa um método de infecção exclusivo que aplica criptografia AES sofisticada para que os usuários cujas máquinas estão infectadas não possam acessar seus arquivos.

O snatch ransomware foi visivelmente ativo em abril de 2019, mas foi lançado no final de 2018. No entanto, o aumento nos arquivos criptografados e nas notas de resgate levou à sua descoberta e acompanhamento pela equipe de pesquisadores da Sophos.

Sua forma de cripto-vírus ataca alvos de alto perfil, mas essa nova variedade, criada usando o programa Google Go, compreende uma coleção de ferramentas, incluindo um recurso de ladrão de dados e ransomware. Além disso, possui um shell reverso do Cobalt Strike e outras ferramentas usadas por testadores de penetração e administradores de sistema.

Nota: A variante descoberta pela Sophos só pode ser executada no Windows nas edições de 32 e 64 bits da versão 7 a 10.

Como o Snatch Ransomware funciona

Como um vírus de bloqueio de arquivo, o Snatch ransomware não tem conexões com outras linhagens. Ainda assim, seus desenvolvedores lançaram nove variantes da ameaça, que acrescentam extensões diferentes depois que os dados são criptografados com a cifra AES.

O truque é reiniciar as máquinas no modo de segurança e, em seguida, o ransomware restringe o acesso aos seus dados criptografando seus arquivos. Depois disso, os hackers tentam extorquir dinheiro de você solicitando resgates na forma de Bitcoin em troca de desbloquear seus arquivos e devolver o acesso aos dados.

Snatch Ransomware Como remover obras "width =" 1392 "height =" 783 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset =" https://www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097477_932_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg 1392w, https://cdn.guidingtech.com/imager/media/assets /248988/snatch-ransomware-how-to-remove-works_935adec67b324b146ff212ec4c69054f.jpg?1576568391 700w, https://cdn.guidingtech.com/imager/media/assets/248988/snatch-ransomware-howeato70r0d0 jpg? 1576568391 500w, https://i1.wp.com/www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097478_980_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg?ssl=1 340w

Há uma razão pela qual o truque funciona. Alguns softwares antivírus não iniciam no Modo de Segurança, e os desenvolvedores descobriram que podiam facilmente modificar uma chave de registro do Windows e simplesmente inicializar sua máquina no Modo de Segurança. Assim, o ransomware é executado sem ser detectado pelo seu software de segurança.

Na primeira vez em que é instalado no seu dispositivo, ele é fornecido através do SuperBackupMan, um serviço do Windows, e é configurado antes de o computador iniciar a reinicialização, para que você não possa parar a tempo.

Snatch Ransomware Como remover Superbackupman "width =" 642 "height =" 204 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset =" https://www.aplicativosandroid.com/wp-content/uploads/2019/12/O-que-e-o-Snatch-Ransomware-e-como-remove-lo.png 642w, https://cdn.guidingtech.com/imager/media/ass/ /249086/snatch-ransomware-how-to-remove-superbackupman_40dd5eab97016030a3870d712fd9ef0f.png?1576568419 500w, https://cdn.guidingtech.com/imager/media/assets/249086/snatch-romom-back7. O que você quer tocar hoje?

Depois de instalados, os atacantes usam o acesso de administrador para executar o BCDEDIT, uma ferramenta de linha de comando do Windows, para forçar o computador a reiniciar imediatamente no Modo de Segurança.

Em seguida, ele cria um executável nomeado aleatório na pasta% AppData% ou% LocalAppData%, que será iniciada e começará a verificar as letras de unidade do seu computador em busca de arquivos para criptografar.

Arquivos direcionados pelo Snatch Ransomware

Existem extensões de arquivo específicas que ele criptografa, incluindo .doc, .docx, .pdf, .xls e muitas outras, que infectam e alteram suas extensões para o Snatch para que você não possa abri-las novamente.

O ransomware deixa uma nota do arquivo de texto Readme_Restore_Files.txt, exigindo algo entre um e cinco Bitcoin em troca de uma chave de descriptografia, com informações sobre como se comunicar com os hackers para recuperar seus arquivos de dados.

Snatch Ransomware Como remover a mensagem "width =" 642 "height =" 227 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset =" https://www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097478_570_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.png 642w, https://cdn.guidingtech.com/imager/media/assets /249087/snatch-ransomware-how-to-remove-message_40dd5eab97016030a3870d712fd9ef0f.png?1576568420 500w, https://cdn.guidingtech.com/imager/media/assets/249087/snatch-ransomebc1-4-4. O que você quer tocar hoje?

Depois que o ransomware examina seu computador completamente, ele usa o vssadmin.exe, um comando do Windows para excluir todas as cópias de volume de sombra, para que você não possa se recuperar e usá-las para restaurar arquivos de dados criptografados. A etapa final é criptografar qualquer arquivo de dados no seu disco rígido.

Atualmente, os arquivos infectados não são descriptografáveis ​​devido à natureza sofisticada da criptografia AES usada. No entanto, você ainda terá uma tábua de salvação se o seu computador estiver infectado, restaurando seus arquivos do backup mais recente.

Snatch Ransomware Como remover o refém do arquivo "width =" 1392 "height =" 731 "data-size =" auto "size =" (min-width: 976px) 700px, (min-width: 448px) 75vw, 90vw "srcset = "https://www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097478_481_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg 1392w, https://cdn.guidingtech.com/imager/ media / assets / 249084 / snatch-ransomware-how-to-remove-file-hostage_935adec67b324b146ff212ec4c69054f.jpg? 1576568896 700w, https://cdn.guidingtech.com/imager/media/assets/249084/snatch-ransomware-how-to -remove-file-hostage_40dd5eab97016030a3870d712fd9ef0f.jpg? 1576568942 500w, https://cdn.guidingtech.com/imager/media/assets/249084/snatch-ransomware-how-to-remove-file-hostage97c4a12a659c4a12a65a1a4a12a65a1a4a12a65a1a4a12a7a1a4a12a7b1

O Snatch ransomware tem como alvo usuários comuns por e-mail de spam. Mas hoje, os principais alvos são as corporações. Ao pagar esses criminosos, você não apenas perde dinheiro e não tem garantia de que eles enviarão a chave de descriptografia para você, mas também os incentiva a continuar com a criminalidade cibernética.

Se você não possui um backup atualizado, não há muito o que fazer além de esperar até que os especialistas em segurança criem um decodificador de imagem Snatch ransomware. Isso pode levar muito tempo, mas existem outras maneiras de se proteger de tais ataques.

Como remover o Snatch Ransomware do seu computador

Uma das melhores maneiras de remover o Snatch ransomware e outro malware é instalar um bom software de segurança antivírus, como o Malwarebytes ou o SpyHunter, que pode verificar, detectar e eliminar a ameaça. Nem todos os mecanismos antivírus podem capturá-lo porque é um malware totalmente novo, por isso é bom verificar usando vários programas.

Você pode proteger a si mesmo e a seus dispositivos contra ataques de ransomware, executando etapas simples, como baixar software de fontes confiáveis, e evitar abrir anexos de email de fontes não confiáveis.

Snatch Ransomware Como remover tipos de arquivo "width =" 1392 "height =" 808 "data-size =" auto "size =" (largura mínima: 976px) 700px, (largura mínima: 448px) 75vw, 90vw "srcset = "https://www.aplicativosandroid.com/wp-content/uploads/2019/12/1577097479_841_O-que-e-o-Snatch-Ransomware-e-como-remove-lo.jpg 1392w, https://cdn.guidingtech.com/imager/ media / assets / 249085 / snatch-ransomware-how-to-remove-file-types_935adec67b324b146ff212ec4c69054f.jpg? 1576568391 700w, https://cdn.guidingtech.com/imager/media/assets/249085/snatch-ransomware-how-to -remove-file-types_40dd5eab97016030a3870d712fd9ef0f.jpg? 1576568391 500w, https://cdn.guidingtech.com/imager/media/assets/249085/snatch-ransomware-how-to-remove-file-types_7c4a12eb53911c4a12eb5391a1a1b4aaa12eb7395a1b4aa12eb7395a1b4a12eb659a1b4a12eb654

Outras maneiras de proteger você e sua organização contra o Snatch e outros tipos de ransomware incluem:

  • Mantenha um sistema operacional atualizado e faça backup dos seus dados.
  • Realize auditoria de senha regular.
  • Implante software de segurança abrangente e multicamada para proteger todos os pontos de entrada contra um ataque de ransomware.
  • Protegendo as ferramentas de acesso remoto e outros programas vulneráveis ​​porque os atacantes do Snatch contratam outros criminosos com experiência no uso de shells da Web ou capazes de invadir servidores SQL por meio de ataques de injeção.
  • Proteja sua interface da área de trabalho remota colocando-os atrás de uma VPN na sua rede para que as pessoas não os acessem sem credenciais de VPN.
  • Execute verificações regulares e completas em todos os dispositivos em sua casa ou organização para garantir que eles estejam protegidos e monitorados, pois o Snatch aproveita esses pontos de acesso e pontos de apoio para obter entrada.
  • Configure e use a autenticação multifator para todos os administradores da sua organização, para que os invasores não possam forçar brutalmente suas credenciais.
  • Realize uma busca completa de ameaças em sua rede para identificar qualquer atividade antes da infecção.

Proteja seu sistema

O Snatch ransomware pode parecer quase fatal, pois funciona para paralisar seus arquivos e dispositivos. Antes de pensar em pagar esse resgate, tente as etapas acima para remover a ameaça e sempre tome medidas preventivas para garantir que essas ameaças não apareçam no seu computador ou rede.

Próximo: Se você suspeitar que seu telefone está infectado com ransomware, consulte o próximo artigo para descobrir como detectá-lo e removê-lo.

Última atualização em 18 dez, 2019

Fonte

Mais sobre: