“Zcrypt” – o ransomware que também é um vírus de computador

“Zcrypt” – o ransomware que também é um vírus de computador

SophosLabs apenas apontou para nós uma nova peça de ransomware com uma característica interessante.

É um vírus!

A maioria das amostras de malware estes dias são o que é conhecido como Trojans , abreviação de “cavalos de Tróia” – programas que parecem inofensivas na superfície, mas têm surpresas desagradáveis escondido dentro.

Trojans não dar a volta por si mesmos – eles têm que ser entregues de alguma forma, tipicamente por e-mail ou através de uma página web armadilhado.

Vinte anos atrás, no entanto, a maioria das amostras de malware foram vírus , o que significa que eles foram programados para se espalhar por conta própria, como uma infecção viral, normalmente copiando-se em torno de sua rede e para dispositivos de armazenamento removíveis (ou “disquetes”, como eram conhecido na década de 1990).

Auto-propagação de malware tem uma vantagem importante para os bandidos: eles não têm de continuar a spam fora anexos ou links perigosos, porque os vírus ter uma vida própria, uma vez que eles estão fora e aproximadamente.

Como resultado, o vírus pode muito bem se espalhar ainda mais e duram mais , não menos importante porque as infecções dentro de uma organização que não são erradicado completamente pode manter reaparecimento, às vezes durante anos.

Claro, o ato de auto-propagação é mais uma forma de malware para chamar a atenção para si mesmo, assim no mundo sempre conectado de hoje, é uma técnica que não é visto muito mais.

#ransomware viral

No entanto, ransowmare auto-propagação tem sido experimentado por cibercriminosos antes.

Presumivelmente, a sua esperança era de que infecções múltiplas dentro de um negócio, ou em uma rede doméstica, seria, portanto, mais provável.

A maioria ransomware gera uma chave de criptografia exclusiva para cada computador que ataca, por isso não há atalho se vários computadores dentro de sua empresa ser atingido: o que você precisa para comprar um código de desbloqueio única para cada um deles.

Movendo-se dentro da sua rede parece ser o objectivo desta nova amostra de ransomware, detectado e bloqueado pelos produtos da Sophos como Troj / Agent-ARXC e Troj / Mdrop-HGD .

A boa notícia é que não temos visto muita evidência de que na natureza, por isso não parece estar se espalhando de forma muito eficaz, apesar de ser um vírus.

Como um monte de ransomware, temos visto esta “promovido” via e-mail, afirmando (em vez de forma pouco convincente) de vir de um departamento de serviço público na Califórnia:

Se você permitir-se a ser falado em baixar o alegado fatura, você receberá um arquivo chamadoinvoice-order.zip ; abri-lo irá revelar o malware em um arquivo de factura-order.exe .

Se você abrir a factura-order.exe arquivo, as ransomware corridas, lutando todos os arquivos que ele pode encontrar com extensões de uma longa lista, incluindo arquivos, imagens, vídeos, documentos, planilhas e projetos até programação.

O ransomware em seguida, exibe a sua “página de pagamento”, certificando-se de que você sabe como comprar de volta a chave de decodificação para decodificar os dados:

Bitcoins subiram um pouco em valor ao longo dos últimos dias desde que este malware apareceu, assim que o projeto de lei que você vai enfrentar (BTC1.2) é mais como US $ 640 no momento da escrita [2016-06-01T17: 00Z].

Bem como lutando seus preciosos arquivos, este ransomware também faz cópias de si mesmo para compartilhamentos de rede graváveis e discos removíveis que encontra, presumivelmente na esperança de que alguém possa abrir o arquivo infectado mais tarde.

O arquivo de cair é chamado zcrypt.lnk , e é acompanhada por um autorun.inf que tenta carregá-lo automaticamente quando um usuário insere o dispositivo infectado ou navega para um compartilhamento de rede infectada.

Isso é algo de uma explosão do passado, porque “Autorun” em unidades removíveis foi desativada por padrão em computadores Windows há anos, então o risco de infecção inesperada desta forma pode ser considerado baixo.

No entanto, se você é um administrador de sistema, vale a pena verificar que AutoRun realmente está desligado em todos os computadores. (Você pode fazer isso usando a Diretiva de Grupo).

O malware também acrescenta-se ao AppData \ Roaming diretório, que é automaticamente replicada para outros computadores que você usa na mesma rede, o que significa que este vírus pode literalmente segui-lo ao redor.

O que fazer?

Nós não esperamos que você seja afetado por este, porque pensamos que é bastante obviamente suspeito.

No entanto, todas as nossas sugestões habituais irá ajudá-lo contra esta e outras ameaças de malware:

  • Use um filtro de web para bloquear ligações não confiáveis.
  • Use um filtro de e-mail para bloquear mensagens não confiáveis.
  • Aplicar o senso comum quando confrontados com facturas e outras mensagens que você não estava esperando.
  • Não abra arquivos .ZIP ou executar arquivos .exe de fontes desconhecidas .
  • Use a Diretiva de Grupo para se certificar de AutoRun é desligada em todos os lugares .
  • Faça backups regulares , incluindo manter cópias fora do local.

Importante, lembre-se que nem todos ransomware é feita da mesma forma.

Em particular, ransomware viral do Zcrypt tipo não funciona em um modelo de um e-mail de uma amostra-one-potencial-vítima.

Em outras palavras, depois que você teve uma infecção, outras vítimas podem mais tarde ser infectado também, mesmo que eles nunca recebeu um e-mail mal-intencionado, ou clicar em um link malicioso, ou download de um arquivo malicioso.

Mesmo depois de um único relatório deste malware, considere fazer um on-demand ou verificação de vírus durante a noite de seus servidores de arquivos para certificar-se de que não deixou cópias de si mesmo em torno de mentir, esperando para enganar as vítimas adicionais mais tarde.