O que é Snatch Ransomware e como removê-lo

Parece que os desenvolvedores de crimeware nunca dormem enquanto as defesas aumentam. Eles estão sempre em busca de maneiras diferentes de aperfeiçoar suas armas de ataque. Uma das técnicas mais recentes é uma variedade de ransomware que pode forçar um dispositivo Windows a reinicie no modo de segurança logo antes do início da criptografia, com o objetivo de contornar a proteção do endpoint.

Esta linhagem particular é conhecida como Snatch devido aos seus autores, que se referem a si próprios como o Snatch Team. Era descoberto por pesquisadores do Sophos Labs, que descreveu sua descoberta junto com insights sobre como essas gangues invadem empresas e outras entidades em sua lista de alvos.

Vamos explicar o que é Snatch ransomware, como funciona e como você pode removê-lo de seus dispositivos.

Também em Tecnologia de Orientação

O que é Snatch Ransomware

Snatch é uma nova variante de ransomware cujo executável força os dispositivos Windows a reiniciar no Modo de Segurança, mesmo antes que o processo de criptografia comece em uma tentativa de contornar a proteção do endpoint que muitas vezes não funciona neste modo.

Descoberto por pesquisadores da SophosLabs e equipe de Resposta a Ameaças Gerenciadas da Sophos, o snatch ransomware está entre os vários componentes da constelação de malware sendo usado em uma série contínua de ataques cuidadosamente orquestrados com extensa coleta de dados.

o nova cepa do ransomware usa um método de infecção exclusivo que aplica criptografia AES sofisticada para que os usuários cujas máquinas estão infectadas não possam acessar seus arquivos.

O ransomware Snatch foi visivelmente ativo pela primeira vez em abril de 2019, mas foi lançado no final de 2018. No entanto, o aumento em arquivos criptografados e notas de resgate levou à sua descoberta e acompanhamento pela equipa de investigadores da Sophos.

Sua forma de cripto-vírus ataca alvos de alto perfil, mas esta nova cepa, criada usando Google Go programa, compreende uma coleção de ferramentas, incluindo um ladrão de dados e recurso de ransomware. Além disso, tem um Cobalt Strike shell reverso e outras ferramentas usadas por testadores de penetração e administradores de sistema.

Observação: A variante descoberta do Sophos só pode ser executada no Windows nas edições de 32 e 64 bits da versão 7 a 10.

Como funciona o Snatch Ransomware

Como um vírus de bloqueio de arquivo, o Snatch ransomware não tem conexões com outras cepas. Ainda assim, seus desenvolvedores lançaram nove variantes da ameaça, que acrescentam extensões diferentes depois que os dados são criptografados com cifra AES.

O truque é reinicializar as máquinas no modo de segurança e, em seguida, o ransomware restringe o acesso aos seus dados criptografando seus arquivos. Depois disso, os hackers tentam extorquir dinheiro de você, solicitando resgates na forma de Bitcoin em troca de desbloquear seus arquivos e devolver o acesso aos dados.

Há uma razão pela qual seu truque funciona. Alguns softwares antivírus não iniciam no modo de segurança e os desenvolvedores descobriram que podem facilmente modificar uma chave de registro do Windows e apenas inicializar sua máquina no modo de segurança. Assim, o ransomware é executado sem ser detectado pelo software de segurança.

Na primeira vez que é instalado em seu dispositivo, ele vem por meio do SuperBackupMan, um serviço do Windows, e é configurado antes de seu computador reiniciar, para que você não possa interrompê-lo a tempo.

Depois de instalados, os invasores usam o acesso de administrador para executar o BCDEDIT, uma ferramenta de linha de comando do Windows, para forçar o computador a reiniciar no Modo de segurança imediatamente.

Em seguida, ele cria um executável nomeado aleatório em sua pasta% AppData% ou% LocalAppData%, que será iniciado e começará a verificar as letras de unidade do seu computador em busca de arquivos para criptografar.

Também em Tecnologia de Orientação

Arquivos direcionados por Snatch Ransomware

Existem extensões de arquivo específicas que ele criptografa, incluindo .doc, .docx, .pdf, .xls e muitos outros, que infecta e altera suas extensões para Snatch para que você não possa abri-los novamente.

O ransomware deixa uma nota de arquivo de texto Readme_Restore_Files.txt, exigindo algo entre um e cinco Bitcoin em troca de uma chave de descriptografia, com informações sobre como se comunicar com os hackers para obter seus arquivos de dados de volta.

Depois que o ransomware verifica seu computador completamente, ele usa vssadmin.exe, um comando do Windows para excluir todas as cópias de volume de sombra nele para que você não possa recuperá-lo e usá-lo para restaurar arquivos de dados criptografados. A etapa final é criptografar quaisquer arquivos de dados em seu disco rígido.

Atualmente, os arquivos infectados não podem ser descriptografados devido à natureza sofisticada da criptografia AES usada. No entanto, você ainda terá um salva-vidas se o seu computador for infectado ao restaurar seus arquivos do backup mais recente.

Snatch ransomware tem como alvo usuários regulares através de e-mails de spam. Mas hoje, os principais alvos são as corporações. Ao pagar esses criminosos, você não apenas perde dinheiro e não tem garantia de que eles enviarão a chave de descriptografia para você, mas também os incentiva a continuar com a criminalidade cibernética.

Se você não tiver um backup atualizado, não há muito mais que você possa fazer a não ser esperar até que os especialistas em segurança apareçam com um descriptografador de ransomware Snatch. Isso pode levar muito tempo, mas existem outras maneiras de se proteger contra esses ataques.

Como remover Snatch Ransomware do seu computador

Uma das melhores maneiras de remover o Snatch ransomware e outro malware é instalar um bom software de segurança antivírus, como Malwarebytes ou SpyHunter, que pode escanear, detectar e eliminar a ameaça. Nem todos os mecanismos antivírus podem detectá-lo porque é um malware totalmente novo, por isso é bom fazer a varredura usando vários programas.

Você pode proteger a si e aos seus dispositivos contra ataques de ransomware, seguindo etapas simples, como baixe software de fontes confiáveis ​​e evite abrir anexos de e-mail de fontes não confiáveis fontes.

Outras maneiras de se proteger e à sua organização contra o Snatch e outros tipos de ransomware incluem:

• Mantenha um sistema operacional atualizado e continue fazendo backup de seus dados.
• Realize auditorias regulares de senha.
• Implante um software de segurança abrangente e multicamadas para proteger todos os pontos de entrada contra um ataque de ransomware.
• Protegendo ferramentas de acesso remoto e outros programas vulneráveis ​​porque os invasores Snatch contratam outros criminosos com experiência no uso de shells da Web ou capazes de invadir servidores SQL por meio de ataques de injeção.
• Proteja sua interface de Área de Trabalho Remota colocando-os atrás de uma VPN em sua rede para que as pessoas não acessem sem credenciais VPN.
• Execute verificações regulares e completas em todos os dispositivos em sua casa ou organização para garantir que eles estejam protegidos e monitorados enquanto o Snatch aproveita esses pontos de acesso e apoios para os pés para entrar.
• Configure e use a autenticação multifator para qualquer administrador em sua organização para que os invasores não possam usar força bruta em suas credenciais.
• Execute uma busca completa de ameaças em sua rede para identificar qualquer atividade antes da infecção.

Também em Tecnologia de Orientação

Proteja seu sistema

O ransomware Snatch pode soar quase como uma ameaça à vida na forma como funciona para paralisar seus arquivos e dispositivos. Antes de pensar em pagar o resgate, tente as etapas acima para remover a ameaça e sempre tome medidas preventivas para garantir que essa e outras ameaças não apareçam em seu computador ou rede.

Próximo: Se você suspeita que seu telefone está infectado com ransomware, verifique nosso próximo artigo para descobrir como detectar isso e removê-lo.