“Na sequência de alertas lançados internacionalmente, a Claranet Security encontra-se a analisar um novo surto de ransomware.
Perante relatórios contraditórios sobre a origem, vectores de infecção e metodologia propagação foi efectuada uma análise mais detalhada sobre a ameaça.
Verifica-se que esta variante de ransomware – ainda sem nome estabelecido em definitivo – possui a particularidade de favorecer a encriptação a discos (partições) por inteiro – inutilizando o arranque do equipamento – em alternativa à encriptação de ficheiros.
Vectores de ataque identificados até à data:
• Email ZIP (anexo .PDF+.DOCm)
• Email com (anexo .DOCm ou .XLS)
Mecanismos de propagação:
• SMBv1 (à semelhança do WCry2.0)
• WMIC utilizando shares administrativos detectados na rede, caso haja acesso aos mesmos
Metodologia de infecção:
• Descarregamento de downloader usando macros
• Descarregamento e instalação de malware
• Propagação a equipamentos vizinhos (SMBv1 e WMIC) – temporizada durante 1h30m
• Reinício do equipamento com falsa mensagem de verificação do disco (CHKDSK)
• Encriptação – durante a verficação – do MBR e MFT das partições dos discos locais
• Arranque com mensagem mencionando equipamento cifrado, solicitando resgate
Mantém-se a recomendação de prudência na abertura de anexos, mesmo que de fontes conhecidas, recebidos de forma inusitada.
Reforça-se a necessidade de desabilitar o protocolo SMBv1 e acrescenta-se uma revisão das permissões administrativas aliada ao barramento de operações WMIC da forma mais adequada à infra-estrutura gerida.
A Claranet continua a aplicar os barramentos necessários nos seus clientes geridos.
Qualquer dúvida ou esclarecimento, estamos ao inteiro dispor pelos canais habituais,
Claranet Portugal”