Image default
Security

Ransomware CryPy criptografa cada arquivo com uma chave diferente

Escrito em Python, o ransomware CryPy está levando o “negócio” da criptografia a um novo patamar, onde cada arquivo infectado possui uma chave única, dificultando ainda mais o processo de descriptografia.

O ransomware foi identificado por pesquisadores da Kaspersky ao verificarem uma falha de segurança específica. Uma falha que permite aos atacantes carregar e executar um Shell Script PHP em um servidor web israelense que utiliza o sistema de gerenciamento de conteúdo Magento. Este servidor atua como central de comando e controle (C&C) para o CryPy enquanto os dados são transferidos em formato texto simples para o servidor. Isso permite aos atacantes realizar ataques man-in-the-middle (Homem no meio), bem como fazer o upload de outros scripts PHP. Esses scripts instruirão o ransomware CryPy à invadir computadores alvo. Além disso, este servidor de comando e controle pode ser usado para realizar ataques de phishing, pois ele possui páginas falsas de PayPal.

A pesquisadores identificaram que o CryPy possui dois arquivos principais, o boot_common.py e o encryptor.py. O primeiro registra erros do sistema operacional Windows e o segundo possui o código principal do ransomware.

Após o computador ser infectado, ferramentas de Registro são as primeiras a serem desativadas pelo CryPy, seguidas pelo Gerenciador de Tarefas, Executar e o Prompt de Comando. Após isso, as políticas relacionadas ao estado de inicialização e ferramentas de recuperação também são desativadas. Quando essas funcionalidades forem desativadas com sucesso, o malware começará a criptografar os arquivos utilizando uma chave criptográfica diferente para cada arquivo.

Quando o malware termina o processo de bloqueio do sistema e criptografia dos dados, o autor da ameaça começa a enviar comandos para informar as vítimas do ataque e entra em contato através de e-mail pedindo o pagamento pelo programa de descriptografia. Se as vítimas agirem conforme o desejado e entrarem em contato por e-mail, uma chave de descriptografia de exemplo será fornecida para que possam reaver alguns arquivos de graça. Esta é a estratégia do atacante para criar um “laço de confiança” e assim forçar as vítimas a pagar o resgate a fim de obter o programa completo de descriptografia.

Arquivo LEIAME do ransomware CryPy
Arquivo LEIAME do ransomware CryPy

Conforme pesquisadores da Kaspersky, atualmente esse ransomware está nos estágios iniciais de desenvolvimento, pois sentem que ele não foi capaz de criptografar arquivos quando o criador do site mudou o servidor. Além disso, o malware também não foi atualizado.

Fonte:

CryPy Ransomware Encrypts Each File Individually with a Special Key

Posts similares

Ransomware: Dr. Web diz que pode remover o KeRanger

O Analista

Pesquisadores apresentam o primeiro ransomware para dispositivos IoT

O Analista

8 dicas de segurança online para as compras de Natal

O Analista