Cuidado com o Defray Ransomware

 

| Soluções | Parceiros

Defray é um ataque de ransomware altamente direcionado que pode ter ficado relativamente despercebido com outros ataques de grande nome que acontecem ao redor do mundo. O Defray é sofisticado, não só em suas capacidades maliciosas, mas também em suas campanhas de engenharia social extremamente orientadas

Especificamente com estratégia de ataque no setor da Saúde, o Defray inclui informações muito detalhadas no documento Word armado para enganar a vítima. O documento contém informações cuidadosamente pesquisadas destinadas a criar um ataque que parece muito legítimo.

Além disso, este documento armado foi projetado para contornar os esforços de política de segurança interna ao não mostrar um botão "Ativar Macro". Em vez disso, um ícone de reprodução do YouTube é colocado no meio do documento na tentativa de encorajar o usuário a clicar nele para ver o conteúdo (veja abaixo).



Por que o Defray Ransomware é uma questão importante e por que devo estar preocupado?
 
A sofisticação por trás do ataque de phishing que Defray usa é muito preocupante. O malware se esforça para aprender o máximo possível sobre o alvo, a fim de proporcionar-lhes segurança suficiente para que eles não desconfiem do documento que está sendo enviado por e-mail.
Em tipos de campanhas normais de phishing, geralmente vemos e-mails personalizados tentando que os usuários abram o anexo; no entanto, neste caso, não só o e-mail é personalizado, mas também o anexo. O nome, o título do cargo e os detalhes da organização incluídos no documento são legítimos em um esforço para fazer com que a vítima se sinta como se fosse um documento que eles esperassem receber. (Veja a figura acima. No documento, o nome completo e o título da vítima são usados ​​como rodapé para adicionar legitimidade).
Embora seja estranho ver um botão de reprodução do YouTube em um documento do Word, os outros detalhes estão em destaque para garantir à vítima que ela veio de uma fonte legítima.
No caso de Defray, o payload executável não é um script de macro, e sim um simples documento construído como um anexo OLE (Object linking and embedding) que é um padrão de documento composto que foi desenvolvido pela Microsoft. Ele possibilita a criação de objetos com um aplicativo e, em seguida, efetuar link ou incorporá-los em outros aplicativos.
Uma vez que o usuário clica no ícone de reprodução do YouTube, o malware é executado. Claro, há um aviso que aparece dizendo que "explorer.exe" está tentando executar, está execução está acontecendo no backend).
O próprio aviso parece um comportamento normal, especialmente se o usuário estiver visualizando algum tipo de informação externa que foi vinculada no documento e é usada para ver esses tipos de caixas de diálogo de aviso.
 
Depois que o usuário clicar em Executar, o malware começa sua destruição. Primeiro, ele exclui todos os pontos de restauração do Windows e restringe o usuário de executar o Gerenciador de Tarefas. Após um ataque ransomware como este, um usuário pode tentar reparar seu sistema através do último ponto de restauração conhecido. Ao excluir os pontos de restauração, o usuário não conseguirá realizar a restauração local. Além disso, todos os catálogos de backup armazenados localmente são removidos se o usuário estiver usando o Backup do Windows - tornando os backups on-line indisponíveis.

O malware também instrui o sistema a ignorar falhas de inicialização em futuros boots e desabilita a reparação automático. O malware modifica a configuração do sistema para garantir que o computador não esteja em standby ou sleep, seja na bateria ou não, para garantir que o malware tenha tempo suficiente para completar todas as suas tarefas.
 
  
Todos os logs de eventos locais são apagados, chegando a limpar o registro de diário que monitora a criação, exclusão, modificação, etc. do arquivo.

No final, os arquivos da vítima são criptografados e são criados arquivos de texto contendo a nota de resgate. A nota de resgate está escrita em um tom quase amigável, pedindo que a vítima entre em contato e sugerindo que as negociações por um preço mais baixo podem ser possíveis. São fornecidos duas opções de e-mail criptografadas, um endereço mail.ru e uma identidade BitMessage para "resposta mais rápida".

Irá aparecer uma mensagem em inglês cuja a tradução é:

Não entre em pânico, leia isso e entre em contato com alguém do departamento de TI.
O seu computador foi infectado por um vírus conhecido como ransomware.
Todos os arquivos, incluindo os seus documentos pessoais ou empresariais, backups e projetos estão criptografados.
A criptografia é muito sofisticada e, sem pagar um resgate, você não recuperará os seus arquivos.
Você pode ser aconselhado a não pagar, mas você deve entrar em contato conosco.
O valor do resgate para os seus arquivos é de $5000 a serem pagos em uma moeda digital denominada Bitcoin.
Se você tiver perguntas, escreva-nos.
Se você tiver dúvidas, escreva-nos.
Se quiser negociar, escreva-nos.
Se você quiser ter certeza de que podemos recuperar os seus arquivos, escreva-nos.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
Caso não respondamos um e-mail dentro de um dia, baixe um aplicativo chamado BitMessage e alcançe-nos para uma resposta mais rápida.
BitMessage BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
###

Para alguém do departamento de TI
Este é um ransomware desenvolvido de forma personalizada, o decodificador não será feito por uma empresa antivírus. Este nem sequer tem um nome. Ele usa o AES-256 para criptografar os arquivos, o RSA-2048 para armazenar a senha AES-256 criptografada e o SHA-2 para manter a integridade do arquivo criptografado. Está escrito em C ++ e passou por muitos testes de garantia de qualidade. Para evitar isso, da próxima vez use backups offline.
 
 Como Cylance me protege?
 
No caso do Ransomware Defray, vimos um vetor de introdução diferente; No entanto, se o malware é introduzido no sistema por outro programa, serviço ou mesmo por um usuário, o mecanismo  patenteado de pré-execução do CylancePROTECT impede a infecção do seu computador, não permitindo que o malware seja executado.
 
O CylancePROTECT com  Optics ™ oferece visibilidade sem precedentes em ataques, revela ameaças difíceis de encontrar e fornece análise de causa raiz focada simplesmente.

 

Copyright © 2012-2014 Integratto Tecnologia. Todos os direitos reservados. By Nébadon.