Wednesday, October 12, 2016

DXXD ransomware, exibe aviso legal e criptografa arquivos em compartilhamentos de rede não mapeados


12 de outubro de 2016 por Pierluigi Paganini

Traduzido por Afonso Henrique Rodrigues Alves

http://securityaffairs.co/wordpress/52194/malware/dxxd-ransomware.html 

O ransomware DXXD visa especificamente servidores e é capaz de criptografar arquivos em compartilhamentos de rede, mesmo que não estejam mapeados.
Malware continua a evoluir, a última ameaça em ordem de tempo que implementou uma característica singular é o ransomware DXXD. As peculiaridades dessa ameaça é que ele também criptografa o arquivo em compartilhamentos de rede, mesmo que sejam, não mapeados (um recurso já implementado pelo Locky ransomware) e exibe um aviso legal.
O ransomware DXXD acrescenta a extensão .dxxd aos arquivos criptografados, então ele deixa uma nota de resgate para a máquina infectada. A nota de resgate DXXD contém instruções para as vítimas que precisam entrar em contato com rep_stosd@protonmail.com ou rep_stosd@tuta.io.to para os arquivos criptografados, então ele deixa uma nota de resgate para a máquina infectada. A nota de resgate DXXD contém instruções para as vítimas que precisam entrar em contato com rep_stosd@protonmail.com ou rep_stosd@tuta.io.
Outra característica interessante do malware é a capacidade de configurar uma definição do Registro do Windows, a fim de exibir uma espécie de "observação legal" quando as pessoas entram no computador. Os VXers usam esse recurso para permitir que um usuário que tente acessar o servidor possa ver o bilhete de resgate.
O ransomware DXXD muda o HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ LegalNoticeCaption chave de registo e o HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ LegalNoticeText para exibir a seguinte nota.
"Ao iniciar o Windows, Windows Defender trabalha para ajudar a proteger o seu PC através da varredura para software malicioso ou indesejado."

Ainda não está claro o vetor de infecção, Abrams especular a ameaça é disseminada por abusar do Remote Desktop Services.
"Com base em informações descobertas, acredito que o desenvolvedor ransomware invade servidores usando Remote Desktop Services e ataques de força bruta. Se você tem sido afetado pela DXXD ransomware, você deve redefinir todas as senhas para a máquina afetada. ", Escreveu Lawrence Abrams.
De acordo com Abrams, o autor do ransomware DXXD decidiu provocar vítimas e especialistas que ajudam as vítimas através da criação de uma conta no BleepingComputer e reivindicando que uma versão mais recente da ameaça que é mais difícil de decifrar. O desenvolvedor também alegou ter explorou uma vulnerabilidade zero-day para comprometer servidores e entregar o malware.

Como de costume, deixe-me desencorajar a todos sobre o pagamento do ransomware, porque não há garantia de que você vai receber de volta seus arquivos. Não se esqueça de fazer backup de seus dados com frequência e usar soluções anti-malware. No caso específico, poderia ser melhor desativar Remote Desktop Protocol (RDP) e arquivos em execução a partir de pastas AppData / LOCALAPPDATA.
Pierluigi Paganini
(Assuntos de Segurança - DXXD ransomware, malware)

No comments:

Post a Comment

Prevent outsiders from using these Google dorks against your web systems

 Modifying the robots.txt file in your server, as follows: • Prevent indexing from Google by running the following code:  User-agent: Google...