ransomware.jpg

Clop agora ‘mata’ aplicativos do Windows 10

Alvo do ransomware são alguns processos interessantes pertencentes aos aplicativos do Windows 10, editores de texto, software IDE de programação, linguagens de programação e aplicativos de escritório

ransomware.jpg

O ransomware Clop continua a evoluir como “assassino de processos”, que tem como alvo alguns processos interessantes pertencentes aos aplicativos do Windows 10, editores de texto, software IDE de programação, linguagens de programação e aplicativos de escritório.

Quando começou a circular em fevereiro do ano passado, o Clop era apenas uma variante do CryptoMix, com os mesmos recursos desta família ransomware que atua desde 2017. Em março, no entanto, o ransomware mudou repentinamente e começou a desativar serviços do Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec e outros softwares corporativos. A nota de resgate também foi alterada para indicar que os atacantes estavam alvejando uma rede inteira em vez de PCs individualmente.

Foi verificado naquele momento que um grupo de agentes de ameaças, conhecido como TA505, havia adotado o Clop como sua arma letal após comprometer uma rede, da mesma maneira que ransomwares como o Ryuk, BitPaymer e DoppelPaymer estavam sendo usados. Segundo pesquisadores de segurança, essa adoção provavelmente alimentou o desenvolvimento do ransomware, à medida que os hackers o modificam para atender às suas necessidades ao executar a criptografia em toda a rede.

O desenvolvimento continuou e em novembro do ano passado foi lançada uma nova variante que tentava desativar o Windows Defender em execução nos PCs locais, para que não fosse detectado por futuras atualizações de assinaturas. Essas mudanças também coincidiram com ameaças que alvejaram empresas na Holanda e na França. No mês passado, a Universidade de Maastricht, na Holanda, foi infectada pelo Clop.

No fim de dezembro, uma nova variante do Clop foi descoberta pelo MalwareHunterTeam e pelo pesquisador Vitali Kremez. Por meio de engenharia reversa ele aperfeiçoou o recurso de encerramento do processo. Agora, o ransomware finaliza 663 processos, que incluem novos aplicativos do Windows 10. Alguns dos processos mais interessantes encerrados incluem o Android Debug Bridge, Notepad ++, Everything, Tomcat, SnagIt, Bash, Visual Studio, aplicativos do Microsoft Office, linguagens de programação como Python e Ruby, o aplicativo de terminal SecureCRT, a calculadora do Windows e até o novo aplicativo Windows 10 Your Phone.

Não se sabe por que alguns desses processos foram encerrados, especialmente aqueles como Calculator, Snagit e SecureCRT, mas é possível que eles pretendam criptografar arquivos de configuração usados ​​por algumas dessas ferramentas.