08 maio

Nova versão do ransomware Dharma usa ferramenta da ESET para distrair as vítimas

De acordo com informações da Trend Micro, uma nova versão do ransomware Dharma está usando a ferramenta ESET AV Remover para distrair as vítimas enquanto os arquivos são criptografados.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.

Acesse o portal clicando aqui.

Nova versão do ransomware Dharma usa ferramenta da ESET para distrair as vítimas

A nova versão do ransomware Dharma está sendo distribuída através de uma nova campanha de spam que inclui anexos maliciosos contendo seu dropper disfarçado como um executável auto extraível protegido por senha chamado Defender.exe:

A senha para o anexo malicioso pode supostamente ser obtida clicando no link presente na mensagem, o que é uma técnica muito utilizada para enganar vítimas curiosas e fazer com que elas executem o arquivo malicioso.

O texto contido na mensagem pode ser visto abaixo:

Your Windows is temporarily at risk !
Our system has detected several unusual data from your Pc.
It’s corrupted by the DISPLAY SYSTEM 37.2%.
All of your information is at risk , this can damage the system files, data,
applications, or even cause data leaks etc.
Please update and verify your antivirus down below :
Password: www.microsoft.com
Download

Quando o arquivo Defender.exe é executado, ele adiciona uma versão antiga do instalador da ferramenta ESET AV Remover chamada Defender_nt32_enu.exe e o executável taskhost.exe do ransomware Dharma na pasta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup.

Com isso ele será executado automaticamente e começará a criptografar os arquivos da vítima:

O instalador do ESET AV Remover será executado automaticamente, atraindo a atenção da vítima para a ferramenta quanto seus arquivos são criptografados em segundo plano.

Segundo a análise da Trend Micro, esta nova versão do ransomware Dharma ainda criptografará os arquivos mesmo se o instalador da ferramenta não for executado. O malware é executado em uma instância diferente da ferramenta.

Arquivos criptografados pelo ransomware:

Embora o ESET AV Remover usado pelo ransomware seja um software legítimo e com uma assinatura digital válida, ele serve mais para distrair a vítima e para mantê-la ocupada com a ferramenta sem perceber que seus arquivos estão sendo criptografados.