Existe uma nova variante de ransomware que se encontra focada em infetar sistemas Windows, e para tal, tira proveito das próprias funcionalidades do sistema.
Conhecido como ShrinkLocker, este novo ransomware encripta a partição de arranque do sistema usando o Windows BitLocker, funcionalidade normalmente usada para encriptar os dados dos utilizadores de forma segura nos seus sistemas.
De acordo com a empresa de segurança Kaspersky, o ransomware tem vindo a propagar-se em massa para mais sistemas, sendo que o foco aparentam ser dispositivos de entidades governamentais.
Os investigadores apontam que as variantes mais recentes deste ransomware adotam novas formas de encriptarem os dados, para serem ainda mais eficazes, mas também mais destrutivas, bloqueando acesso a sistemas sensíveis.
O ShrinkLocker usa a programação Visual Basic Scripting (VBScript), que a Microsoft criou em 1996, e encontra-se agora em vias de ser descontinuado do Windows – embora ainda ativo e bastante usado para ataques de malware em geral.
O ransomware começa por identificar o sistema que se encontra instalado, usando as próprias ferramentas do Windows para tal. Com isto, aplica diferentes formatos de encriptação, focando-se em garantir que os dados ficam encriptados o melhor possível.
Se o malware identificar que se encontra num sistema que não corresponde ao pretendido – por exemplo, com o Windows Vista ou inferior – o mesmo não realiza qualquer ação e elimina todos os seus vestígios.
Ao contrário dos ransomware regulares, onde normalmente existe um meio de contacto que é colocado em ficheiros no ambiente de trabalho, este ransomware não aplica tal técnica. Invés disso, cria um novo disco de arranque, com um contacto de email para as vítimas poderem tentar recuperar os dados.
No entanto, este nome apenas surge caso as vitimas tentem usar ferramentas de recuperação para identificar o problema com o sistema, onde então poderão verificar o nome da partição invulgar.
A chave de desencriptação é enviada diretamente para os atacantes, que bloqueiam assim o acesso ao sistema até que o pagamento seja realizado. No entanto, tendo em conta o formato do ataque, os investigadores acreditam que o mesmo não se encontra focado em ganhos monetários, mas sim para levar à destruição de dados.
Nenhum comentário
Seja o primeiro!