Pelo menos quatro novas estirpes apareceram recentemente. Existe um que não é detectado por quase todos os motores antivírus no mercado.
O ransomware Dharma é uma das mais antigas famílias de ransomware existentes e ainda assim causa estragos, não detectados por soluções de segurança.
Outubro e novembro viram o aparecimento de pelo menos quatro novas versões. Descobrimos um que não é detectado por quase todos os mecanismos antivírus no mercado. Se esta tendência continuar, os utilizadores que confiam apenas no antivírus para proteção de ransomware estarão em risco de perder seus dados para sempre – não há ferramenta de descriptografia livre para as novas versões de ransomware Dharma (CrySiS).
Este mês, o pesquisador de segurança Jakub Kroustek encontrou algumas novas variantes de ransomware Dharma que criptografaram os arquivos da vítima com uma extensão “.betta” ou “.xxxxx”. Eles pediram que o resgate fosse pago para o endereço de e-mail “backtonormal@foxmail.com” ou “syndicateXXX@aol.com”.
Apesar de Jakub Kroustek postar as suas descobertas sobre o resgate @foxmail a 19 de outubro, no momento em que escrevemos sobre a tensão que descobrimos (7 de novembro), apenas 44 dos 67 antivírus detectaram o arquivo malicioso que ele descobriu, como você pode ver no VirusTotal.Agora, foi encontrado outro novo tipo de ransomware Dharma, que não é detectado por quase todas as soluções de segurança. Escusado será dizer que isso representa um enorme risco para os utilizadores domésticos e organizações sem camadas adequadas de segurança e conscientização.E sim, é o mesmo cibercriminoso ou grupo de criminosos associado ao endereço de e-mail backtonormal@foxmail.com.
Apenas um único mecanismo antivírus ESET o detetou, de 67 listados. (é por isso que a RISEMA instala esta solução nos clientes 🙂 )
Embora alguns detalhes associados a ele tenham sido sinalizados por pesquisadores como maliciosos por quase 2 anos, devido à natureza do ransomware Dharma, os níveis de detecção são extremamente baixos.
O pesquisador de segurança Michael Gillespie alertou para a intensificação em 2017. Agora, ele também encontrou uma versão Dharma Ransomware que usa .NET para se espalhar. Uma vez que ele atinge um dispositivo desprotegido, ele criptografará todos os arquivos com uma extensão “.tron”, exigindo que o pagamento seja feito nos endereços de e-mail xtron@cock.li ou xtron@fros.cc.Ele enviou as descobertas para o VirusTotal a 6 de novembro e, no momento em que este alerta de segurança foi escrito, apenas 28 dos 66 mecanismos antivírus eram capazes de detectar esse arquivo malicioso.
Como a infecção acontece:
Da investigação até agora, o vetor de infecção para este ransomware Dharma em particular tem sido o RPD do Windows (Remote Desktop Protocol). O executável mal-intencionado não explora vulnerabilidades, mas usa um comportamento semelhante a um cavalo de Tróia.
Agentes mal-intencionados usarão ferramentas como scanners de portas remotas para computadores corporativos, procurando pontos de terminação habilitados para RDP que os funcionários usem normalmente para fazer o login de casa. Então, quando eles encontrarem um ponto de extremidade habilitado para RDP, os criminosos tentarão logar adivinhando o nome do administrador e a força bruta atacando a senha. Quando isso acontecer, os criminosos copiarão e executarão a versão de ransomware. Como eles geralmente têm direitos de administrador, os criminosos podem até desativar essas proteções, portanto senhas fortes são essenciais.
As versões de ransomware Dharma associadas ao endereço de pagamento do resgate backtonormal@foxmail.com codificarão formatos de dados, incluindo, mas não se limitando a:
odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, .sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps.