Um novo ransomware está se espalhando rapidamente pela China, que já infectou mais de 100.000 computadores nos últimos quatro dias, como resultado de um ataque na cadeia de suprimentos ... e o número de usuários infectados está aumentando continuamente a cada hora.
O que é interessante? Ao contrário de quase todos os malwares de ransomware, o novo vírus não exige pagamentos de resgate no Bitcoin.
Em vez disso, os atacantes pedem às vítimas que paguem 110 yuans (cerca de US $ 16) em resgate pelo WeChat Pay - o recurso de pagamento oferecido pelo aplicativo de mensagens mais popular da China.
Ransomware + Password Stealer - Ao contrário dos surtos de ransomware WannaCry e NotPetya, que causaram o caos mundial no ano passado, o novo ransomware chinês tem como alvo apenas usuários chineses.
Ele também inclui uma capacidade adicional de roubar senhas de contas de usuários para os serviços de e-mail Alipay, NetEase 163, Baidu Cloud Disk, sites Jingdong (JD.com), Taobao, Tmall, AliWangWang e QQ. Um ataque à cadeia de suprimentos - Segundo a Velvet Security , empresa chinesa de segurança cibernética e antivírus , os atacantes adicionaram código malicioso ao software de programação "EasyLanguage", usado por um grande número de desenvolvedores de aplicativos.
O software de programação modificado de forma mal-intencionada foi projetado para injetar código de ransomware em cada aplicativo e produto de software compilado por meio dele - outro exemplo de um ataque de cadeia de suprimento de software para espalhar o vírus rapidamente.
Mais de 100.000 usuários chineses que instalaram qualquer um dos aplicativos infectados listados acima tiveram seus sistemas comprometidos. Este ransomware criptografa todos os arquivos em um sistema infectado, exceto arquivos com extensões gif, exe e tmp.
Usando Assinaturas Digitais Roubadas - Para se defender contra programas antivírus, os invasores assinaram seu código de malware com uma assinatura digital confiável da Tencent Technologies e evitam a criptografia de dados em alguns diretórios específicos, como "Tencent Games, League of Legends, tmp, rtl e programa".
Uma vez criptografado, o ransomware exibe uma nota pedindo aos usuários que paguem 110 yuans à conta WeChat dos atacantes dentro de 3 dias para receber a chave de descriptografia.
Se não for pago dentro do prazo exibido, o malware ameaça excluir a chave de descriptografia de seu servidor de comando e controle remoto automaticamente.
Além de criptografar arquivos de usuários, o ransomware também rouba silenciosamente as credenciais de login dos usuários de sites chineses populares e de contas de mídia social e os envia para um servidor remoto.
Também reúne informações do sistema, incluindo modelo de CPU, resolução de tela, informações de rede e lista de softwares instalados.
Ransomware ruim foi quebrado - Pesquisadores chineses de segurança cibernética descobriram que o ransomware foi mal programado e os invasores mentiram sobre o processo de criptografia.
A nota de ransomware diz que os arquivos dos usuários foram criptografados usando o algoritmo de criptografia DES, mas, na realidade, criptografa dados usando uma codificação XOR menos segura e armazena uma cópia da chave de decodificação localmente no próprio sistema da vítima em uma pasta no seguinte local:
% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg
Usando essas informações, a equipe de segurança da Velvet criou e lançou uma ferramenta gratuita de descriptografia de ransomware que pode facilmente desbloquear arquivos criptografados para vítimas sem exigir que eles paguem qualquer resgate.
Os pesquisadores também conseguiram crackear e acessar os servidores de banco de dados de comando e controle do MySQL dos atacantes, e encontraram milhares de credenciais roubadas armazenadas neles.
Quem está por trás desse ataque de ransomware? - Usando informações publicamente disponíveis, os pesquisadores encontraram um suspeito, chamado “Luo”, que é programador de software por profissão e desenvolveu aplicativos como “assistente de recursos lsy” e “LSY classic alarm v1.1”.
O número da conta QQ de Lua, número de celular, ID Alipay e IDs de e-mail correspondem às informações coletadas pelos pesquisadores seguindo a conta WeChat do atacante.
Após ser notificado da ameaça, o WeChat também suspendeu a conta do invasor em seu serviço que estava sendo usado para receber os pagamentos do resgate.
Pesquisadores da Velvet também informaram as agências chinesas de aplicação da lei com todas as informações disponíveis para uma investigação mais aprofundada.
THEHACKERNEWS
Comentários
Postar um comentário