{"id":20458,"date":"2022-12-15T15:23:34","date_gmt":"2022-12-15T18:23:34","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20458"},"modified":"2022-12-15T15:23:34","modified_gmt":"2022-12-15T18:23:34","slug":"crywiper-pseudo-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/crywiper-pseudo-ransomware\/20458\/","title":{"rendered":"CryWiper: o falso ransomware"},"content":{"rendered":"

Nossos especialistas descobriram um ataque de um novo Trojan, que eles apelidaram de CryWiper. \u00c0 primeira vista, este malware se parece com ransomware: ele modifica arquivos, adiciona uma extens\u00e3o adicional a eles e salva um arquivo README.txt com uma nota de resgate, que cont\u00e9m o endere\u00e7o da carteira bitcoin, o endere\u00e7o de e-mail de contato dos criadores do malware e o ID da infec\u00e7\u00e3o. No entanto, na verdade, esse malware \u00e9 um wiper<\/a>: um arquivo modificado pelo CryWiper n\u00e3o pode ser restaurado ao seu estado original \u2014 nunca. Portanto, se voc\u00ea vir uma nota de resgate e seus arquivos tiverem uma nova extens\u00e3o .CRY, n\u00e3o se apresse em pagar o resgate: \u00e9 in\u00fatil.<\/p>\n

No passado, vimos alguns tipos de malware que se tornaram wipers por acidente \u2013 devido a erros de seus criadores que implementaram mal os algoritmos de criptografia. No entanto, desta vez n\u00e3o \u00e9 o caso: nossos especialistas est\u00e3o confiantes de que o principal objetivo dos invasores n\u00e3o \u00e9 o ganho financeiro, mas a destrui\u00e7\u00e3o de dados. Os arquivos n\u00e3o s\u00e3o realmente criptografados; em vez disso, o cavalo de Tr\u00f3ia os substituiu com dados gerados de forma pseudoaleat\u00f3ria.<\/p>\n

O que o CryWiper est\u00e1 buscando<\/h2>\n

O Trojan corrompe todos os dados que n\u00e3o s\u00e3o vitais para o funcionamento do sistema operacional. N\u00e3o afeta arquivos com extens\u00f5es .exe, .dll. .lnk, .sys ou .msi e ignora v\u00e1rias pastas do sistema no diret\u00f3rio C:\\Windows. O malware se concentra em bancos de dados, arquivos e documentos do usu\u00e1rio.<\/p>\n

At\u00e9 agora, nossos especialistas viram apenas ataques pontuais contra alvos da Federa\u00e7\u00e3o Russa. No entanto, como sempre, ningu\u00e9m pode garantir que o mesmo c\u00f3digo n\u00e3o seja usado contra outros alvos.<\/p>\n

Como funciona o trojan CryWiper<\/h2>\n

Al\u00e9m de substituir diretamente o conte\u00fado dos arquivos com lixo, o CryWiper tamb\u00e9m faz o seguinte:<\/p>\n