Ransomware – Microsoft divulga alerta sobre o ransomware ZCryptor

0
422

Ransomware

A Microsoft divulgou recentemente em seu Threat Research & Response Blog um alerta sobre o ransomware ZCryptor. Um detalhe sobre ele é que assim como um worm, ele é capaz de se reproduzir sozinho.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser reestabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor. No caso destes dois últimos, a Kaspersky disponibilizou em novembro passado uma ferramenta que varre o computador do internauta e recupera os arquivos sequestrados.

A Malwarebytes lançou seu Malwarebytes Anti-Ransomware Beta e a BitDefender também disponibilizou seu Bitdefender Anti-Ransomware.

Já a Emsisoft lançou recentemente o site Emsisoft Decrypter. O site atualmente conta com 14 ferramentas gratuitas para ajudar na recuperação de arquivos bloqueados por ransomwares como AutoLocky, DMALocker2, HydraCrypt e CrypBoss.

Ransomware ZCryptor

De acordo com a Microsoft, o ransomware ZCryptor, detectado pelas soluções de segurança da empresa como Ransom:Win32/ZCryptor.A pode se reproduzir sozinho e se espalhar via drives de rede e drives removíveis.

Este ransomware é distribuído via e-mails falsos e também pode infectar os computadores via instaladores falsos (incluindo do Flash Player) e via outros malwares baseados em macros.

Depois de instalado, o ransomware ZCryptor criará a seguinte chave para que ele possa ser executado na inicialização:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

zcrypt = {caminho do malware executado}

Ele também cria um arquivo autorun.inf em drives removíveis, um arquivo zycrypt.lnk na pasta %User Startup%zcrypt.lnk e cópias de si mesmo como {Drive}:system.exe e %APPDATA%zcrypt.exe, além de mudar os atributos do arquivo para se ocultar no Explorador de Arquivos.

O ransomware ZCryptor também exibirá a seguinte mensagem, que está presente no arquivo How to decrypt files.html:

Ransomware - Microsoft divulga alerta sobre o ransomware ZCryptor
Ransomware – Microsoft divulga alerta sobre o ransomware ZCryptor

O ransomware criptografará os arquivos com as extensões listadas abaixo, que serão alteradas por ele para .zcrypt (arquivodousuario.zcrypt, por exemplo):

Ransomware - Microsoft divulga alerta sobre o ransomware ZCryptor
Ransomware – Microsoft divulga alerta sobre o ransomware ZCryptor

Se o usuário mantém backup dos arquivos com as extensões listadas acima via Histórico de Arquivos, por exemplo, será possível restaurá-los sem precisar pagar o “resgate”.

Ransomware – Microsoft divulga alerta sobre o ransomware ZCryptor
Avalie esta notícia