Parece que os desenvolvedores de crimeware nunca dormem quando as defesas aumentam. Eles estão sempre procurando maneiras diferentes de aperfeiçoar suas armas de ataque. Uma das técnicas mais recentes é uma variedade de ransomware que pode forçar um dispositivo Windows a reiniciar no Modo de Segurança antes do início da criptografia, com a intenção de contornar a proteção do ponto de extremidade.
Essa linhagem específica é conhecida como Snatch devido a seus autores, que se referem a si mesmos como a Equipe Snatch. Foi descoberto por pesquisadores da Sophos Labs, que delinearam sua descoberta juntamente com informações sobre como essas quadrilhas invadem empresas e outras entidades em sua lista de ocorrências.
Vamos explicar o que é o Snatch ransomware, como funciona e como você pode removê-lo de seus dispositivos.
O que é o Snatch Ransomware
O Snatch é uma nova variante de ransomware cujo executável força os dispositivos Windows a reiniciarem no Modo de Segurança, mesmo antes do início do processo de criptografia, em uma tentativa de ignorar a proteção de terminal que geralmente não é executada nesse modo.
Descoberto pelos pesquisadores da SophosLabs e pela equipe de Resposta à ameaça gerenciada da Sophos, o snatch ransomware está entre os vários componentes de constelação de malware usados em uma série contínua de ataques cuidadosamente orquestrados, com extensa coleta de dados.
A nova variedade do ransomware usa um método de infecção exclusivo que aplica criptografia AES sofisticada para que os usuários cujas máquinas estão infectadas não possam acessar seus arquivos.
O snatch ransomware foi visivelmente ativo em abril de 2019, mas foi lançado no final de 2018. No entanto, o aumento nos arquivos criptografados e nas notas de resgate levou à sua descoberta e acompanhamento pela equipe de pesquisadores da Sophos.
Sua forma de cripto-vírus ataca alvos de alto perfil, mas essa nova variedade, criada usando o programa Google Go, compreende uma coleção de ferramentas, incluindo um recurso de ladrão de dados e ransomware. Além disso, possui um shell reverso do Cobalt Strike e outras ferramentas usadas por testadores de penetração e administradores de sistema.
Nota: A variante descoberta pela Sophos só pode ser executada no Windows nas edições de 32 e 64 bits da versão 7 a 10.
Como o Snatch Ransomware funciona
Como um vírus de bloqueio de arquivo, o Snatch ransomware não tem conexões com outras linhagens. Ainda assim, seus desenvolvedores lançaram nove variantes da ameaça, que acrescentam extensões diferentes depois que os dados são criptografados com a cifra AES.
O truque é reiniciar as máquinas no modo de segurança e, em seguida, o ransomware restringe o acesso aos seus dados criptografando seus arquivos. Depois disso, os hackers tentam extorquir dinheiro de você solicitando resgates na forma de Bitcoin em troca de desbloquear seus arquivos e devolver o acesso aos dados.
Há uma razão pela qual o truque funciona. Alguns softwares antivírus não iniciam no Modo de Segurança, e os desenvolvedores descobriram que podiam facilmente modificar uma chave de registro do Windows e simplesmente inicializar sua máquina no Modo de Segurança. Assim, o ransomware é executado sem ser detectado pelo seu software de segurança.
Na primeira vez em que é instalado no seu dispositivo, ele é fornecido através do SuperBackupMan, um serviço do Windows, e é configurado antes de o computador iniciar a reinicialização, para que você não possa parar a tempo.
Depois de instalados, os atacantes usam o acesso de administrador para executar o BCDEDIT, uma ferramenta de linha de comando do Windows, para forçar o computador a reiniciar imediatamente no Modo de Segurança.
Em seguida, ele cria um executável nomeado aleatório na pasta% AppData% ou% LocalAppData%, que será iniciada e começará a verificar as letras de unidade do seu computador em busca de arquivos para criptografar.
Arquivos direcionados pelo Snatch Ransomware
Existem extensões de arquivo específicas que ele criptografa, incluindo .doc, .docx, .pdf, .xls e muitas outras, que infectam e alteram suas extensões para o Snatch para que você não possa abri-las novamente.
O ransomware deixa uma nota do arquivo de texto Readme_Restore_Files.txt, exigindo algo entre um e cinco Bitcoin em troca de uma chave de descriptografia, com informações sobre como se comunicar com os hackers para recuperar seus arquivos de dados.
Depois que o ransomware examina seu computador completamente, ele usa o vssadmin.exe, um comando do Windows para excluir todas as cópias de volume de sombra, para que você não possa se recuperar e usá-las para restaurar arquivos de dados criptografados. A etapa final é criptografar qualquer arquivo de dados no seu disco rígido.
Atualmente, os arquivos infectados não são descriptografáveis devido à natureza sofisticada da criptografia AES usada. No entanto, você ainda terá uma tábua de salvação se o seu computador estiver infectado, restaurando seus arquivos do backup mais recente.
O Snatch ransomware tem como alvo usuários comuns por e-mail de spam. Mas hoje, os principais alvos são as corporações. Ao pagar esses criminosos, você não apenas perde dinheiro e não tem garantia de que eles enviarão a chave de descriptografia para você, mas também os incentiva a continuar com a criminalidade cibernética.
Se você não possui um backup atualizado, não há muito o que fazer além de esperar até que os especialistas em segurança criem um decodificador de imagem Snatch ransomware. Isso pode levar muito tempo, mas existem outras maneiras de se proteger de tais ataques.
Como remover o Snatch Ransomware do seu computador
Uma das melhores maneiras de remover o Snatch ransomware e outro malware é instalar um bom software de segurança antivírus, como o Malwarebytes ou o SpyHunter, que pode verificar, detectar e eliminar a ameaça. Nem todos os mecanismos antivírus podem capturá-lo porque é um malware totalmente novo, por isso é bom verificar usando vários programas.
Você pode proteger a si mesmo e a seus dispositivos contra ataques de ransomware, executando etapas simples, como baixar software de fontes confiáveis, e evitar abrir anexos de email de fontes não confiáveis.
Outras maneiras de proteger você e sua organização contra o Snatch e outros tipos de ransomware incluem:
- Mantenha um sistema operacional atualizado e faça backup dos seus dados.
- Realize auditoria de senha regular.
- Implante software de segurança abrangente e multicamada para proteger todos os pontos de entrada contra um ataque de ransomware.
- Protegendo as ferramentas de acesso remoto e outros programas vulneráveis porque os atacantes do Snatch contratam outros criminosos com experiência no uso de shells da Web ou capazes de invadir servidores SQL por meio de ataques de injeção.
- Proteja sua interface da área de trabalho remota colocando-os atrás de uma VPN na sua rede para que as pessoas não os acessem sem credenciais de VPN.
- Execute verificações regulares e completas em todos os dispositivos em sua casa ou organização para garantir que eles estejam protegidos e monitorados, pois o Snatch aproveita esses pontos de acesso e pontos de apoio para obter entrada.
- Configure e use a autenticação multifator para todos os administradores da sua organização, para que os invasores não possam forçar brutalmente suas credenciais.
- Realize uma busca completa de ameaças em sua rede para identificar qualquer atividade antes da infecção.
Proteja seu sistema
O Snatch ransomware pode parecer quase fatal, pois funciona para paralis
ar seus arquivos e dispositivos. Antes de pensar em pagar esse resgate, tente as etapas acima para remover a ameaça e sempre tome medidas preventivas para garantir que essas ameaças não apareçam no seu computador ou rede.
Próximo: Se você suspeitar que seu telefone está infectado com ransomware, consulte o próximo artigo para descobrir como detectá-lo e removê-lo.
Última atualização em 18 dez, 2019