Nossos pesquisadores analisaram o malware HermeticRansom, também conhecido como Elections GoRansom. Em geral, este é um cryptor bastante simples. O que é interessante neste caso é o propósito para o qual os invasores o estão usando.
Objetivos do HermeticRansom
O HermeticRansom atacou computadores ao mesmo tempo que outro malware conhecido como HermeticWiper e, com base em informações publicamente disponíveis da comunidade de segurança, foi usado em recentes ataques cibernéticos na Ucrânia. De acordo com nossos especialistas, a relativa simplicidade e a implementação questionável do fluxo de trabalho de malware sugerem que o HermeticRansom foi usado como uma cortina de fumaça para os ataques do HermeticWiper.
O que o HermeticRansom é capaz de fazer
Depois de infectar o computador da vítima, o malware primeiro identifica os discos rígidos e coleta uma lista de diretórios e arquivos localizados em todos os lugares, exceto nas pastas Windows e Arquivos de Programas. Em seguida, ele criptografa certas categorias de arquivos e os renomeia adicionando uma tag .encrypted e o endereço de e-mail dos operadores de ransomware. O malware também cria um arquivo read_me.html na pasta Desktop contendo uma nota de resgate com os contatos dos invasores. A nota é assim:
O HermeticRansom criptografa arquivos com as seguintes extensões: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi e odt.
Peculiaridades do HermeticRansom
O HermeticRansom está escrito em Golang. Ele não usa nenhum mecanismo de ofuscação, e o próprio método de criptografia é bastante complicado e ineficiente. A julgar por esses e alguns outros sinais, nossos especialistas acham que esse malware foi criado às pressas.
Você pode encontrar uma análise técnica mais detalhada do malware junto com indicadores de comprometimento em nosso blog Securelist.
Como se proteger
As soluções de segurança Kaspersky Lab detectam com sucesso o malware HermeticRansom e ameaças semelhantes. Temos uma variedade de ferramentas para proteger computadores domésticos e infraestrutura corporativa, incluindo:
- ”Kaspersky: nossa solução de segurança multiplataforma para usuários domésticos;
- Kaspersky Endpoint Security Cloud: nossa solução para proteção de negócios;
- Kaspersky Anti-Ransomware Tool: nossa solução corporativa gratuita que pode funcionar como uma camada adicional de proteção em paralelo com produtos de outros fornecedores.