O Fsociety, novo ransomware, implementou vários novos recursos perigosos nessa versão, a maioria dos quais não foram incluídos em sua versão anterior. Estes incluem coisas como infectar unidades de rede, técnicas anti -VM e fazer o download para executar novas cargas úteis fora da internet. Entenda melhor abaixo as dúvidas sobre essa nova variante, de acordo com a Fortinet.
Quais arquivos o Fsociety Criptografa?
A primeira coisa que o ransomware faz é a infiltrar-se em seu sistema e encontrar arquivos para criptografar. O Fsociety faz uma ampla pesquisa através volumes "C: \" a "Z : \". Como mostrado abaixo, o Fsociety chama funções com nomes "walk__drive ()" para percorrer a cada unidade, com intuito de encontrar arquivos para criptografar.
As unidades de destino são apenas unidades que foram atribuídas com letras de unidade locais. Entretanto, o Fsociety também tem um potencial perigoso para infectar discos de rede. O código que é responsável por isso já foi implementado.
A imagem é um exemplo detalhado de uma dessas funções de iteração de acionamento, uma vez que a única diferença entre eles é a letra de unidade. Esta função usa o Python built-in "os" módulos para obter o caminho completo de arquivos não - diretório na unidade alvo, acrescentando-lhes uma lista.
Todos os arquivos com uma extensão listados serão criptografados. O Fsociety tem como alvo uma ampla gama de extensões de arquivo, incluindo arquivos já criptografados com outro ransomware. O que significa que até mesmo arquivos como "locky" serão criptografados novamente com o Fsociety.
Como o Fsociety criptografa arquivos?
Depois de localizar arquivos direcionados, ele criptografa usando um algoritmo AES com uma chave codificada. Os arquivos originais são sobre - escrito com bytes criptografados.
Depois da criptografia, os nomes de arquivos são adicionados com ".fs0ciety".
Existe alguma maneira para recuperar os arquivos criptografados?
Sim. Mas é preciso encontrar a chave codificada e usar um método de decodificação AES para descriptografar os arquivos usando essa chave.
Instruções de pagamento invisíveis
O ransomware, geralmente mostra as vítimas instrução de pagamento sobre a forma de comprar um "decodificador" para decifrar e recuperar arquivos criptografados. Já o Fsociety, vai além e tem sub - funções para compor instruções e usa um navegador para abri-las. No entanto, esta sub - função não é chamada em sua função principal para essa versão, para que as vítimas não sejam capazes de ver as instruções. Além do mais, as próprias instruções parecem ser inacabadas.
Características maliciosas não utilizados
Além infectar recursos de compartilhamento de rede, existem algumas características adicionais que não estão sendo utilizadas. Por exemplo, uma característica do Fsociety permite a pessoa baixar um arquivo executável a partir de um link e executá-lo localmente.
Outra característica é uma técnica de evasão anti- VM. Se o malware detectar que ele está sendo executado em um ambiente de VM, ele irá imediatamente.
Concluindo
Parece que Fsociety ainda está em desenvolvimento, mas já está implementado muitas características perigosas. É possível que nos próxima anos esta nova variante ransomware será tão perigosa quanto qualquer outro ransomware, mas com o tempo necessário para fazer atualizações e modificações significativamente encurtadas devido à facilidade de codificação em Python.
Fonte
Fortinet
CTO da Brasiline explica como funciona a solução SIEM
Brasiline Cyber Papo Podcast: Um Novo Canal de Conhecimento em Cibersegurança
