Nova versão do Ransomware já está fazendo vítimas

199

Uma nova versão do Ransomware chamada XData ganhou força e já infectou cerca de três vezes mais que o WannaCry na Ucrânia.

Descoberto na última quinta-feira pelo pesquisador do grupo de análise da MalwareHunterTeam, a nova versão do Ransomware chamada XData, já fez 94 vítimas na Ucrânia, três vezes mais que o WannaCry (30 infecções) fez no país, e o número estava aumentando.

Algumas dúzias de casos podem não parecer muito. Mas, considerando que o WannaCry infectou mais de 300 mil dispositivos no mundo todo, se considerarmos a taxa de infecção no mundo, o estrago pode ser ainda maior.

Mesmo em um ambiente isolado, o novo vírus está se espalhando muito mais rápido que o anterior, podendo causar problemas mais profundos a nível global.

"Como ele se espalhou tão rápido na Ucrânia, não é improvável que ele vai se espalhar rápido fora da Ucrânia, também", diz o alemão de segurança Matthias investigador Merkel.

De acordo com MalwareHunter, 95% dessas vítimas eram usuários da Ucrânia, mas XData também fez vítimas na Rússia, Alemanha e Estônia.

O método de distribuição para esta campanha XData é atualmente desconhecido. O que sabemos são os nomes dos arquivos e processos que o Ransomware produz em um host infectado, o que pode revelar indiretamente algumas pistas sobre seu vetor de distribuição.

mssql.exe
msdns.exe
msdcom.exe
mscomrpc.exe

XData usa o algoritmo de criptografia AES para criptografar arquivos, aos quais acrescenta a extensão. ~xdata~, então um arquivo chamado image.png torna-se image.png.~xdata~.


					
					

 

Especialistas afirmam que o XData possui maior nível de sofisticação e que criptografa todos arquivos. Até o momento não há como contornar o processo nem descriptografar os arquivos de graça, como já está sendo feito com o WannaCry em alguns casos no Windows XP e no Windows 7.


					
					

Além dos arquivos locais, o XData também criptografará compartilhamentos de rede não-mapeados. Uma vez que o processo de criptografia termina, o Ransomware descarta uma nota de resgate na tela do usuário chamado HOW_CAN_I_DECRYPT_MY_FILES.txt.

Merkel observa que o Ransomware fecha regularmente todos os processos em execução do dispositivo infectado. Tudo indica que XData funciona como spam, malvertising, ou software contaminado que o usuário faz o download sem saber, mas pela taxa de infecção na Ucrânia, os especialistas suspeitam que ele utiliza uma técnica adicional mais sofisticada.

Curiosamente, o XData não especifica uma quantia de dinheiro necessária para liberar arquivos de reféns. MalwareHunter especula que os valores podem variar de acordo com a vítima, separando se eles são simples usuários ou empresas.

Pesquisadores da Symantec disseram na sexta-feira que avaliaram duas amostras relacionadas com XData e confirmaram que atualmente estão "altamente ativas" na Ucrânia e na Rússia. Mas eles ainda não tinham determinado se o Ransomware estava explorando uma vulnerabilidade de software específica para infectar dispositivos.

000webhost logo