Recentemente, a CISA e o FBI alertaram organizações na Ucrânia sobre o malware HermeticWiper, que tinha como alvo computadores de organizações ucranianas para apagar os dados.
Uma das variantes do malware HermeticWiper encontradas anteriormente parecia ser um tipo de ransomware. Os laboratórios de ameaças da Avast descobriram outra nova variante de malware relacionada ao HermeticWiper.
Pesquisadores da ESET encontrado que o malware estava se espalhando pela Ucrânia. Porém, descriptografá-lo foi uma das maiores dificuldades. O malware HermeticWiper foi acompanhado por outro malware.
Depois de estudar mais a fundo, eles encontraram uma brecha nesse malware. Essa lacuna pode ser explorada ainda mais para descriptografar arquivos afetados pelo malware.
Vá para o idioma
Depois que esse malware infecta o sistema, ele procura arquivos e pastas com dados valiosos para criptografar. Este malware tem como alvo específico certas extensões de arquivo listadas abaixo.
.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb
O malware mantém o computador operacional ao não criptografar arquivos dentro de arquivos de programas e Windows pastas. Sempre que um arquivo com criptografia definida é encontrado, o ransomware gera uma chave de criptografia de 32 bytes.
A criptografia é feita por cifra AES GCM e em blocos sendo que cada bloco possui 1048576 (0x100000). Um número máximo de blocos é definido com um limite de taxa de nove e quaisquer dados que ultrapassem 9437184 (0x900000) bytes estarão em texto simples. Depois de criptografar os arquivos, o malware os vincula a outro arquivo que contém o RSA-2084 chave do arquivo. A criptografia RSA deve conter uma chave pública armazenada como uma string base64 no binário.
Os arquivos criptografados recebem sufixos adicionais. Depois que o malware criptografa todos os arquivos, um arquivo read_me.html é armazenado na área de trabalho do computador mencionando detalhes de contato para descriptografia.
Pesquisadores da Avast descobriram que durante o processo de criptografia, o malware cria vários processos filhos que fazem a criptografia real.
Avast lançou um descriptografador gratuito para descriptografar arquivos criptografados por ransomware.
Uso do descriptografador Avast
Para descriptografar, siga as instruções fornecidas abaixo
- Baixe e instale o Avast Decryptor.
- Selecione a unidade onde deseja descriptografar os arquivos.
- Também existe outra opção para manter um backup dos arquivos criptografados. Os usuários podem usar esta opção para manter um backup dos arquivos antes de descriptografá-los como medida de segurança. Em seguida, clique em “Descriptografar”.
Indicadores de compromisso
SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.