Hackers empregam o ransomware KeyPass para ataques manuais

Uma nova variante do KeyPass com uma função manual notada em mais de 20 países

Os investigadores de segurança da Kaspersky Labs publicou um relatório sobre uma nova variante do ransomware KeyPass que tem fazendo rondas pelo mundo desde 8 de Agosto. O malware ganhou uma nova função que permite aos criminosos modificar o código malicioso remotamente, permitindo que alterem o procedimento de encriptação.

Os peritos em segurança notaram que o vírus já infetou mais de 100 vítimas, a maioria de países em desenvolvimento. A maioria foi no Brasil (19.5% ocorrências) e Vietname (14.6%). Entre as vítimas estavam pessoas da Argélia, Índia, Irão e algumas infeções na França e Alemanha.

Ainda não se sabe muito sobre a distribuição do ransomware KeyPass, embora alguns utilizadores tenham mencionado que tentaram descarregar o programa de cracking KMSpico. Outras vítimas alegaram que não instalaram nada nas suas máquinas antes do ataque malware.

A forma como o trojan KeyPass opera

O vírus KeyPass é uma variante do ransomware STOP que apareceu em fevereiro de 2017. Assim que o malware entra na máquina visada, copia o seu executável para a pasta %LocalAppData% e elimina-se após o processo de infeção estar completado. Todavia, antes da remoção, o malware copia o seu próprio processo para várias localizações no dispositivo. Pouco depois, o ransomware procura ficheiros no dispositivo para encriptar, como descrito pelos investigadores.

O KeyPass enumera drives locais e partilhas de rede acessíveis a partir da máquina infetada e procura todos os ficheiros, independentemente da extensão. Salta ficheiros localizados num número de diretórios, os caminhos que são codificados no exemplo.

O vírus tenta depois conectar-se ao Servidor Comando & Controlo para entregar o ID pessoal e chave de encriptação, que podem ser usados para recuperar todos os dados.

O KeyPass usa então a cifra AES-256 para encriptar ficheiros e adiciona a extensão .KEYPASS, tornando os dados pessoais inutilizáveis. Adicionalmente, deixa a nota de resgate !!!KEYPASS_DECRYPTION_INFO!!!.txt em cada uma das pastas afetadas. Os hackers exigem $300 em BTC para libertarem os ficheiros e avisam que o valor aumentará se o pagamento não for processado dentro de 72 horas.

No caso de a ligação de internet não estiver estabelecida no PC infetado ou o Servidor Comando & Controlo não estiver acessível, o malware irá codificar os dados suando um código e ID, permitindo recuperar os dados de forma relativamente fácil.

O controlo manual permite aos hackers preparar ataques alvo e mais perigosos

O trojan KeyPass contém uma forma escondida de forma escondida por defeito. No entanto, a forma pode ser acedida pressionando um botão específico no teclado. Os especialistas do Kaspersky alegam que esta função permite aos hackers ganharem o controlo manual ao programa malicioso.

Embora a função escondida possa não significar muito para as vítimas, os hackers podem usá-la para alterar manualmente os parâmetros do malware, incluindo:

  • ID da vítima;
  • Extensão do ficheiro;
  • Nome da nota de resgate;
  • Contexto da nota de resgate;
  • Chave de encriptação.

Isto significa que o tamanho do resgate possa também ser alterado.

O ransomware é um dos tipos de malware e tem sido prevalecente desde 2013 com o lançamento do CryptoLocker. Os botnets foram estabelecidos, o que tornou a proliferação do malware muito mais fácil. Alguns vírus bloquearam ecrãs dos utilizadores exibindo uma falsa mensagem alegadamente do FBI ou da polícia, enquanto que ameaças como o WannaCrye Petya destruíram a operação de várias organizações de elevado perfil e instituições governamentais durante vários dias. As empresas sofreram milhões de dólares de prejuízo.

O ransomware é ainda umas das maiores ameaças cibernéticas, e os utilizadores devem dar passos de segurança essenciais para evitar os ataques.

Sobre o autor
Lucia Danes
Lucia Danes - Pesquisador de vírus

Contato do Lucia Danes
Sobre a empresa Esolutions

Ler noutras linguagens
Ficheiros
Software
Compare