FTCode PowerShell Ransomware ressurge na campanha de spam

Um antigo ransomware do PowerShell ressurgiu com vingança em uma distribuição de spam destinada a destinatários italianos. Esse ransomware é chamado FTCode e é totalmente baseado no PowerShell, o que significa que ele pode criptografar o computador sem fazer download de nenhum componente adicional.

Desde 26 de setembro, vêm surgindo relatórios [ 1 , 2 , 3 , 4 ] sobre um novo ransomware chamado FTCode que estava sendo distribuído via spam.

A empresa de segurança Certego, que realizou uma análise do ransomware FTCode, afirma que essa é realmente a mesma variante descoberta pela Sophos em 2013.

“Mesmo que o nome pareça novo, a primeira aparição dessa ameaça foi em 2013, como afirma a Sophos . Então, quase nada foi visto por cerca de 6 anos. Estranho, mas precisamos lembrar que a tecnologia muda. O Windows XP foi generalizado. naquele momento e, por padrão, o Powershell é instalado apenas a partir do Windows 7. Isso pode ser um problema, porque os atores precisam instalar o próprio PowerShell antes de executar o ransomware. Além disso, a segurança cibernética não estava madura, como é hoje em dia, por exemplo, clássico Os banqueiros do tipo Zeus foram mais eficazes. “

A Certego especula que este ransomware pode não ter tido sucesso em 2013 devido ao fato de o PowerShell não ser tão prevalente como hoje e que era mais lucrativo usar outros tipos de malware.

Distribuído por spam

Este ransomware está sendo distribuído através de spam contendo documentos maliciosos do Word direcionados a usuários italianos.

O pesquisador de segurança JamesWT disse à BleepingComputer que viu variantes de spam fingindo ser faturas, digitalizações de documentos e currículos para se candidatar a um emprego (currículo).

Por exemplo, abaixo está um e-mail de spam fingindo ser uma fatura ou fatura que a vítima precisa pagar.

Se abrirem o anexo, será mostrado um documento do Word informando que eles precisam Habilitar Conteúdo para continuar.

Depois que o conteúdo é ativado, são iniciadas macros maliciosas que executam um comando do PowerShell que baixa e instala o downloader de malware JasperLoader e depois criptografa o computador.

Script cai backdoor e depois criptografa computador

Segundo o Certego, o primeiro componente de malware instalado é o downloader de malware JasperLoader. O JasperLoader será usado para baixar e instalar outros malwares no computador da vítima.

Após o download do script VBS, ele será configurado para executar automaticamente uma tarefa agendada chamada WindowsApplicationService e um atalho criado na pasta Inicialização.

O script do PowerShell passa para a parte do ransomware, onde verifica se o arquivo C: \ Users \ Public \ OracleKit \ w00log03.tmp existe. Michael Gillespie disse à BleepingComputer que esse arquivo funciona como um interruptor de interrupção e, se existir, o script não criptografará o computador.

Se o arquivo não existir, ele gerará uma chave de criptografia e a enviará ao servidor de comando e controle do invasor. Isso significa que, se você estiver monitorando seu tráfego durante o tempo de criptografia, poderá recuperar a chave de criptografia.

O script agora executará vários comandos para excluir cópias de volume de sombra, backups do Windows e desativar o ambiente de recuperação do Windows.

bcdedit /set absjbjsct bootstatuspolicy ignoreallfailures
bcdedit /set absjbjsct recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete backup
vssadmin delete shadows /all /quiet

Agora que o computador está preparado, o script começará a criptografar arquivos no computador.

Ao criptografar arquivos, a extensão .FTCODE será anexada aos arquivos criptografados, conforme mostrado abaixo.

O ransomware também criará notas de resgate denominadas READ_ME_NOW.htm em todas as pastas. Quando o BleepingComputer testou esse ransomware, ele não gerou corretamente as notas de resgate e ficamos com arquivos de 0 byte.

Abaixo está a nota de resgate da análise da Certego e, como você pode ver, contém um link para um site de pagamento Tor que contém instruções sobre como comprar um decodificador pelo preço atual de US $ 500.

Quando as vítimas visitam o site de pagamento do Tor, recebem um endereço de bitcoin e um valor de resgate que devem enviar para comprar o decodificador.

Infelizmente, Gillespie analisou o algoritmo de criptografia e não viu nenhum ponto fraco que pudesse permitir às vítimas recuperar seus arquivos gratuitamente.

Atualização 03/10/19 12:14 EST: Um de nossos leitores apontou que alguém pagou o resgate e não recebeu o decodificador.

Isso se traduz em:

Do not pay, I repeat DO NOT PAY the redemption of the FTCODE ransomware that is coming via PEC to Italian companies, no private key and no decryption software will be given, I have just tried for a customer

COI:

Hash de Maldoc:

 b09bc9a25090cada55938367c7f12e692632afa2ed46d5e90eba29da84befafd

Deixe seu comentário abaixo para sabermos qual sua opinião em relação a este artigo. Também visite-nos em: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.