Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram uma nova variante do ransomware Snatch que primeiro reinicia os computadores Windows infectados no Modo de Seguran\u00e7a e somente depois criptografa os arquivos das v\u00edtimas para evitar a detec\u00e7\u00e3o de antiv\u00edrus.<\/p>\n
<\/p>\n
Diferentemente do malware tradicional, o novo Snatch ransomware opta por executar no Modo de Seguran\u00e7a, porque no modo de diagn\u00f3stico o sistema operacional Windows inicia com um conjunto m\u00ednimo de drivers e servi\u00e7os sem carregar a maioria dos programas de inicializa\u00e7\u00e3o de terceiros, incluindo software antiv\u00edrus.<\/p>\n
<\/p>\n
O Snatch est\u00e1 ativo desde pelo menos o ver\u00e3o de 2018, mas os pesquisadores do SophosLabs detectaram o aprimoramento do Modo de Seguran\u00e7a para esta variedade de ransomware apenas em ataques cibern\u00e9ticos recentes contra v\u00e1rias entidades que eles investigaram.<\/p>\n
<\/p>\n
“Os pesquisadores do SophosLabs est\u00e3o investigando uma s\u00e9rie cont\u00ednua de ataques de ransomware nos quais o execut\u00e1vel do ransomware for\u00e7a a m\u00e1quina Windows a reiniciar no Modo de Seguran\u00e7a antes de iniciar o processo de criptografia”, afirmam os pesquisadores.<\/p>\n
“O ransomware, que se autodenomina Snatch, se configura como um servi\u00e7o [chamado SuperBackupMan com a ajuda do registro do Windows] que ser\u00e1 executado durante a inicializa\u00e7\u00e3o do Modo de Seguran\u00e7a”.<\/p>\n
<\/p>\n
“Quando o computador \u00e9 reiniciado ap\u00f3s a reinicializa\u00e7\u00e3o, desta vez no Modo de Seguran\u00e7a, o malware usa o componente do Windows net.exe para interromper o servi\u00e7o SuperBackupMan e, em seguida, usa o componente do Windows vssadmin.exe para excluir todas as C\u00f3pias de Sombra de Volume no sistema, que impede a recupera\u00e7\u00e3o forense dos arquivos criptografados pelo ransomware. “<\/p>\n
<\/p>\n
O que torna o Snatch diferente e perigoso dos outros \u00e9 que, al\u00e9m do ransomware, ele tamb\u00e9m \u00e9 um ladr\u00e3o de dados. O Snatch inclui um m\u00f3dulo sofisticado de roubo de dados, permitindo que os invasores roubem grandes quantidades de informa\u00e7\u00f5es das organiza\u00e7\u00f5es-alvo.<\/p>\n