{"id":10326,"date":"2018-05-23T19:37:53","date_gmt":"2018-05-23T22:37:53","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10326"},"modified":"2020-11-16T12:32:01","modified_gmt":"2020-11-16T15:32:01","slug":"synack-ransomware-featured","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/synack-ransomware-featured\/10326\/","title":{"rendered":"SynAck: o ransomware que tenta se esconder"},"content":{"rendered":"

Os malwares tendem a evoluir conforme criminosos adicionam novas funcionalidades e t\u00e9cnicas para evitar a detec\u00e7\u00e3o por programas de antiv\u00edrus. \u00c0s vezes, essa evolu\u00e7\u00e3o \u00e9 bastante r\u00e1pida. Por exemplo, o ransomware SynAck, conhecido desde setembro de 2017 (quando era apenas comum e pouco inteligente), foi recentemente reformulado e tornou-se uma amea\u00e7a muito sofisticada que evita detec\u00e7\u00f5es com uma efic\u00e1cia sem precedentes e usa uma nova t\u00e9cnica chamada Process Doppelg\u00e4nging<\/em>.<\/p>\n

Ataque surpresa<\/strong><\/h3>\n

Os criadores de malware utilizam muito a t\u00e9cnica de ofuscamento<\/a> \u2014 tentativas de deixar o c\u00f3digo ileg\u00edvel para que os antiv\u00edrus n\u00e3o reconhe\u00e7am o malware \u2014 que normalmente empregam pacotes de software especiais para esse objetivo. No entanto, os desenvolvedores de antiv\u00edrus perceberam e esse tipo de estrat\u00e9gia \u00e9 facilmente detectada. Os cibercriminosos por tr\u00e1s do SynAck escolheram outro jeito que requer mais esfor\u00e7o de ambos os lados: ofuscar o c\u00f3digo de forma completa e cuidadosamente antes de o compilar,<\/em> o que dificulta significativamente o trabalho de detec\u00e7\u00e3o das solu\u00e7\u00f5es de seguran\u00e7a.<\/p>\n

Esse n\u00e3o \u00e9 o \u00fanico m\u00e9todo de fuga da nova vers\u00e3o do SynAck emprega. Adicionalmente, implementa uma t\u00e9cnica bastante complicada chamada Process Doppelg\u00e4nging<\/em> \u2013 e \u00e9 o primeiro ransomware a ser visto \u00e0 solta fazendo isso. Foi apresentada pela primeira vez na Black Hat 2017<\/a> por pesquisadores de seguran\u00e7a, e em seguida captada por cibercriminosos e utilizada em diversas esp\u00e9cies de malware.<\/p>\n

O m\u00e9todo Process Doppelg\u00e4nging<\/em> conta com alguns recursos do sistema de arquivos NTFS e um carregador de processos desatualizado que existem em todas as vers\u00f5es do Windows desde o Windows XP, e que permitem que desenvolvedores criem malwares \u201csem arquivo\u201d que fazem com que a\u00e7\u00f5es maliciosas se passem por processos leg\u00edtimos e inofensivos. A t\u00e9cnica \u00e9 complicada; para saber mais, veja este post\u00a0do Securelist<\/a>.<\/p>\n

O SynAck tem mais duas caracter\u00edsticas dignas de mencionar. Primeiro, verifica se est\u00e1 instalado no diret\u00f3rio correto<\/em>. Se n\u00e3o estiver, n\u00e3o executa \u2013 essa \u00e9 uma tentativa de evitar a detec\u00e7\u00e3o por meio das sandboxes autom\u00e1ticas que v\u00e1rias solu\u00e7\u00f5es de seguran\u00e7a utilizam. Segundo, o SynAck analisa se est\u00e1 instalado em um computador com um teclado definido para um determinado script \u2013 nesse caso, o alfabeto cir\u00edlico \u2013 e, nessa situa\u00e7\u00e3o, tamb\u00e9m n\u00e3o faz nada. Essa \u00e9 uma t\u00e9cnica comum para restringir o malware em regi\u00f5es espec\u00edficas.<\/p>\n

O crime habitual<\/strong><\/h3>\n

Para o usu\u00e1rio, o SynAck \u00e9 apenas mais um ransomware, not\u00e1vel principalmente pela sua demanda de resgate consider\u00e1vel: US$ 3000 mil. Antes de criptografar os arquivos da v\u00edtima, garante que tem acesso aos mais importantes durante a derrubada de alguns processos que, de outra forma, manteriam esses arquivos em uso e fora de perigo.<\/p>\n

A v\u00edtima v\u00ea o pedido de resgate, que inclui as instru\u00e7\u00f5es de contato, na tela de login. Infelizmente, o SynAck usa um algoritmo de encripta\u00e7\u00e3o poderoso e nenhuma falha foi encontrada em sua implementa\u00e7\u00e3o d \u2013 por isso ainda n\u00e3o h\u00e1 como descriptografar os arquivos atingidos.<\/p>\n

Observamos que o SynAck foi distribu\u00eddo, na maioria das vezes, por meio de um ataque de for\u00e7a bruta ao protocolo Remote Desktop Protocol \u2013 o foco s\u00e3o usu\u00e1rios corporativos. O n\u00famero limitado de ataques at\u00e9 agora \u2013 todos nos EUA, Kwait e Ir\u00e3 \u2013 corroboram com essa hip\u00f3tese.
\n<\/p>\n

Prepare-se para a pr\u00f3xima gera\u00e7\u00e3o de ransomware<\/strong><\/h3>\n

Mesmo que o SynAck n\u00e3o esteja atr\u00e1s de voc\u00ea, sua exist\u00eancia \u00e9 um sinal claro da evolu\u00e7\u00e3o dos ransomwares, que se tornam mais sofisticados e dif\u00edceis de combater. Os utilit\u00e1rios de descriptografia v\u00e3o ser menos frequentes conforme os criminosos aprendem como evitar os erros que tornaram poss\u00edvel sua cria\u00e7\u00e3o. Apesar de terem cedido terreno para os mineradores ocultos (conforme previmos<\/a>), o ransomware ainda \u00e9 uma grande tend\u00eancia global, e saber como se proteger contra todas essas amea\u00e7as \u00e9 essencial para todo usu\u00e1rio de Internet.<\/p>\n

Aqui est\u00e3o algumas dicas que podem ajudar voc\u00ea a evitar a infec\u00e7\u00e3o ou, se necess\u00e1rio, minimizar as consequ\u00eancias.<\/p>\n