Ransomware crysis – Brasil é o mais afetado!

Entre os países afetados na América Latina, Brasil aparece em primeiro lugar com 22% do número de infecções causadas pelo ransomware crysis. A ameaça afeta computadores através de um anexo malicioso via email.

Crysis estava no top 5 dos ransomwares mais detectados na América Latina durante 2017 e causou grandes perdas de dados para várias empresas da região e globalmente. No entanto, o que aconteceu no ano passado parece não ter sido suficiente para os cibercriminosos, que decidiram lançar uma nova campanha de infecção composta por e-mails com anexos maliciosos que têm a missão de infectar o computador das vítimas.

De acordo com os dados da ESET sobre a quantidade de detecções do ransomware crysis registradas na América Latina nos últimos meses, o Brasil (22%) parece ser o mais afetado, seguido pelo México (19%), Colômbia (17%), Argentina (16%) e Peru (9%).

Essa ameaça, detectada pelos produtos da ESET, está desenvolvida em .NET e embalada para evitar soluções antivírus. Graças a isso, o ransomware é executado na memória do computador infectado para conseguir criptografar todos os arquivos do sistema.

Uma vez que o dispositivo da vítima é infectado, a ameaça tenta criar chaves de registros e copia-se em quatro unidades para garantir sua persistência. Dessa forma o ransomware consegue ser executado a cada início do sistema operacional para criptografar novos arquivos.

Em seguida, o código malicioso executa o comando para excluir os backups do Windows usando o vssadmin.exe. O próximo passo da ameaça consistem em criptografar todos os arquivos do sistema, adicionando a cada arquivo um identificador alfanumérico e o e-mail para contato com o cibercriminoso:
– FileName.fileExtension.id-[randomCharacters].[email].bip

Por último, crysis cria uma série de arquivos para notificar a vítima de que seus documentos foram criptografados e quais são os passos para recuperar as informações. Um deles é um arquivo de texto simples e o outro é um arquivo HTA que se abre como um arquivo HTML normal e pode executar código JavaScript e Visual Basic Script. Neste caso, esse arquivo é usado para gerar a janela com o alerta fornecido pela ameaça.

A ameaça utiliza o processo mshta.exe (Microsoft HTML Aplication Host) legítimo do sistema operacional para exibir o aviso do ataque, passando como parâmetro o arquivo HTA. Isso será executado sempre que o usuário fizer login no computador infectado.

Para não correr o risco você também, tenha o antivírus Sophos na sua empresa! Entre em contato conosco!

Matéria “welivesecurity”.