{"id":19047,"date":"2022-03-04T17:07:41","date_gmt":"2022-03-04T20:07:41","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19047"},"modified":"2022-03-04T20:56:02","modified_gmt":"2022-03-04T23:56:02","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hermeticransom-hermeticwiper-attacks-2022\/19047\/","title":{"rendered":"Ransomware como distra\u00e7\u00e3o"},"content":{"rendered":"

Nossos pesquisadores analisaram o malware HermeticRansom, tamb\u00e9m conhecido como Elections GoRansom. Em geral, este \u00e9 um cryptor bastante simples. O que \u00e9 interessante neste caso \u00e9 o prop\u00f3sito para o qual os invasores o est\u00e3o usando.<\/p>\n

Objetivos do HermeticRansom<\/h2>\n

O HermeticRansom atacou computadores ao mesmo tempo que outro malware conhecido como HermeticWiper e, com base em informa\u00e7\u00f5es publicamente dispon\u00edveis da comunidade de seguran\u00e7a, foi usado em recentes ataques cibern\u00e9ticos na Ucr\u00e2nia. De acordo com nossos especialistas, a relativa simplicidade e a implementa\u00e7\u00e3o question\u00e1vel do fluxo de trabalho de malware sugerem que o HermeticRansom foi usado como uma cortina de fuma\u00e7a para os ataques do HermeticWiper.<\/p>\n

O que o HermeticRansom \u00e9 capaz de fazer<\/h2>\n

Depois de infectar o computador da v\u00edtima, o malware primeiro identifica os discos r\u00edgidos e coleta uma lista de diret\u00f3rios e arquivos localizados em todos os lugares, exceto nas pastas Windows e Arquivos de Programas. Em seguida, ele criptografa certas categorias de arquivos e os renomeia adicionando uma tag .encrypted e o endere\u00e7o de e-mail dos operadores de ransomware. O malware tamb\u00e9m cria um arquivo read_me.html na pasta Desktop contendo uma nota de resgate com os contatos dos invasores. A nota \u00e9 assim:<\/p>\n

\"Nota

Nota de resgate deixada pelo malware HermeticRansom<\/p><\/div>\n

\u00a0<\/p>\n

O HermeticRansom criptografa arquivos com as seguintes extens\u00f5es: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi e odt.<\/span><\/p>\n

Peculiaridades do HermeticRansom<\/span><\/h2>\n

O HermeticRansom est\u00e1 escrito em Golang. Ele n\u00e3o usa nenhum mecanismo de ofusca\u00e7\u00e3o, e o pr\u00f3prio m\u00e9todo de criptografia \u00e9 bastante complicado e ineficiente. A julgar por esses e alguns outros sinais, nossos especialistas acham que esse malware foi criado \u00e0s pressas.<\/span><\/p>\n

Voc\u00ea pode encontrar uma an\u00e1lise t\u00e9cnica mais detalhada do malware junto com indicadores de comprometimento <\/span>em nosso blog Securelist.<\/span><\/a><\/p>\n

Como se proteger<\/span><\/h2>\n

As solu\u00e7\u00f5es de seguran\u00e7a Kaspersky Lab detectam com sucesso o malware HermeticRansom e amea\u00e7as semelhantes. Temos uma variedade de ferramentas para proteger computadores dom\u00e9sticos e infraestrutura corporativa, incluindo:<\/span><\/p>\n

\u00a0<\/p>\n