A ameaça do ransomware aumentou significativamente na última década, tanto em termos de quantidade quanto de complexidade. Os cibercriminosos e os autores de malware estão cada vez mais inovadores com seus códigos de malware, personalizando-os para criar o máximo de dano. O ransomware é conhecido por criptografar arquivos no computador da vítima e exigir um resgate em troca da chave de descriptografia. Como se isso não fosse assustador o suficiente, certos ransomwares têm a capacidade adicional de não apenas criptografar, mas também infectar arquivos, transformando-os em infectadores de arquivos polimórficos. O VirLocker é um desses ransomware, e seus efeitos podem ser desastrosos.
O que é o VirLocker?
A cepa de ransomware VirLocker, também conhecida como VirLock ou VirRansom, apareceu pela primeira vez em 2014. Em 2016 tornou-se proeminente, e pesquisadores de segurança descobriram que variantes dessa cepa eram capazes de se espalhar por meio de armazenamento em nuvem e aplicativos de colaboração. Acredita-se que o VirLocker seja o primeiro ransomware polimórfico auto-replicante do mundo. A maioria dos ransomwares bloqueiam telas ou criptografam arquivos, enquanto alguns adotam uma abordagem híbrida e fazem as duas coisas. O VirLocker vai um passo além – não apenas bloqueia telas e criptografa arquivos, mas também os infecta e transforma cada um desses arquivos criptografados em um infectador de arquivo polimórfico. Um arquivo VirLocker infectado contém um código limpo embutido entre o código polimórfico e o código de malware.
Como funciona?
O ransomware é mais conhecido por obter acesso inicial por meio de e-mail de phishing, kits de exploração, unidades removíveis etc. Acredita-se que as variantes mais recentes do VirLocker se espalhem por unidades externas ou pen drives. Uma vez executado, o VirLocker descarta três instâncias de si mesmo – uma realiza a infecção do arquivo, outra bloqueia a máquina e a terceira se registra como um serviço. Cada uma dessas três instâncias é única e o corpo do código é diferente não apenas para cada host infectado, mas também cada vez que é executado. As três instâncias aparecem como executáveis nomeados aleatoriamente com diferentes hashes em pastas nomeadas aleatoriamente. Também é conhecido por criar e modificar entradas de registro para evitar a detecção. Ele cria entradas de execução em HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE para que a persistência seja obtida e seja iniciada toda vez que o sistema operacional for inicializado. O VirLocker desabilita o explorer.exe e o taskmgr.exe, impedindo que as vítimas identifiquem e removam os processos e entradas maliciosos. Ele também altera as configurações do registro para não mostrar nenhum arquivo oculto, oculta as extensões de arquivo e desabilita o controle de acesso do usuário. Veja a seguir um exemplo de conjunto de comandos usados para alterar as entradas do registro:
-
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
Os arquivos mais comumente visados pelo VirLocker incluem arquivos executáveis, arquivos de documentos, arquivos compactados, arquivos de áudio/vídeo e arquivos de imagem (EXE, DOC, XLS, PDF, PPT, ZIP, RAR, MP3, MPG, WMA, PNG, GIF,BMP, JPG, JPEG, etc.). Para os arquivos que não são arquivos EXE, o VirLocker anexa ‘.exe’ ao nome do arquivo original. Por exemplo, um arquivo chamado ‘CentreABC.pdf’ seria modificado como ‘CentreABC.pdf.exe’. Como as extensões de arquivo são ocultadas pelo VirLocker, essas alterações não são visíveis para o usuário.
O efeito fan-out
Como as variantes do VirLocker são capazes de se espalhar por meio de aplicativos de armazenamento e colaboração em nuvem, cada arquivo infectado no sistema da primeira vítima é essencialmente uma arma capaz de espalhar e infectar outros sistemas na rede. Considere um cenário em que um usuário seja infectado pelo VirLocker. O VirLocker criptografará todos os arquivos no sistema desse usuário e transformará cada um em arquivos infectantes do VirLocker. Agora, se esse usuário tiver arquivos e pastas compartilhados, eles também serão infectados. Quando outro usuário clica em qualquer um desses arquivos compartilhados, o VirLocker é executado em seu sistema e todos os outros arquivos nesse sistema também são criptografados e convertidos em um infector de arquivos VirLocker. Esse cenário se estenderá a todos os usuários que estão colaborando uns com os outros por meio de aplicativos de armazenamento em nuvem, infectando toda a organização rapidamente.
A estranha nota de resgate
Depois que o VirLocker é executado e o sistema do usuário é infectado, a seguinte nota de resgate é exibida na tela.
Curiosamente, o VirLocker se disfarça como um aviso antipirataria do FBI. Ele alega que algum software pirata foi detectado no computador da vítima e os ameaça com consequências legais se eles não pagarem a chamada multa de ‘primeiro infrator’, que é essencialmente o resgate. O VirLocker também é conhecido por verificar a localização geográfica do dispositivo pesquisando o registro e exibir uma mensagem adequada à localização da vítima.
Como acontece com qualquer outro ataque de ransomware, pagar o resgate não necessariamente garante que uma vítima receba todos os seus arquivos de volta. No entanto, com o VirLocker a situação se torna muito pior, porque os arquivos não são apenas criptografados, mas também infectados. As vítimas estão sendo cada vez mais aconselhadas por especialistas em segurança a não pagar o resgate, porque mesmo que possam recuperar seus arquivos, é provável que um arquivo infectado sorrateiro possa estar em algum lugar não detectado no sistema. E se um usuário clicar nesse arquivo sem saber, ele iniciará todo o pesadelo novamente.
Proteja sua organização com Log360
Vários limpadores autônomos e ferramentas de remoção estão disponíveis para o VirLocker, mas o problema de deixar para trás alguns arquivos infectados sempre permanece. Uma solução de segurança eficaz deve ser capaz de rastrear um ataque rapidamente, investigar a causa raiz e tomar medidas corretivas. Nossa solução SIEM, ManageEngine Log360, ajuda a prevenir ataques alertando se quaisquer eventos ou atividades incomuns forem detectados e iniciando processos de correção automática. Para avaliar completamente como o Log360 pode ajudar sua organização a se defender contra o VirLocker e outros ataques cibernéticos, inscreva-se para uma demonstração personalizada.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vamsi Krishna Sanapala.