Por volta do mês de julho deste ano, o ransomware HavanaCrypt surgiu no mundo cibernético. Ele vem realizando ataques com uma particularidade interessante. O HavanaCrypt se fantasia de atualização de software do Google para encriptar máquinas virtuais.
O ransomware foi escrito na linguagem .NET e usa um ofuscador OpenSource chamado Obfuscar para esconder nomes de funcionalidades usadas no ransomware.
O grupo por trás do ransomware, conseguiu implementar mecanismos de anti-análise, podendo se tornar praticamente invisível aos olhos dos usuários e dos programas de segurança.
Ainda não se sabe exatamente o ponto de introdução ao sistema da vítima. Pesquisadores dizem que há possibilidade de ser por campanhas de e-mails ou download involuntário de um software que carrega o malware.
O que é evidente é que a informação no executável malicioso foi alterada para sugerir que o autor é o Google e o nome do programa é Google Software Update.
Sabemos que os criadores do HavanaCrypt se esforçaram bastante para que análises de segurança estáticas e automáticas não detectem o malware. Eles usam verificações de segurança, antes de executar a encriptação.
Se a verificação é negativa, o malware não é executado. Caso seja positiva, um arquivo .txt é baixado pelo ransomware de um endereço IP ligado aos serviços de hospedagem web da Microsoft. Esse arquivo é um script que adiciona certas pastas à lista de exclusão do Windows Defender.
O ransomware então coleta informações sobre a máquina infectada, em seguida exfiltra os dados infectados que são então enviados para um servidor de comando e controle (C2), que atribui um token de identificação único e gera chaves de criptografia únicas.
O vírus varre o sistema em busca de todos os arquivos, pastas, drives e discos e adiciona a extensão .Havana a todos os arquivos encriptados. Os arquivos se tornam então inacessíveis ao usuário.
Diferente de outros ransomware, o HavanaCrypt não gera nenhum pedido de resgate. O que nos leva a pensar que o ransomware HavanaCrypt utiliza outro meio para gerar seus ganhos.
Recuperar arquivos encriptados por ransomware HavanaCrypt
Hoje é possível confiar em empresas qualificadas para a recuperação de dados encriptados. Dentre elas, está a Digital Recovery.
Estando no mercado de recuperação de dados há mais de 23 anos, a Digital Recovery adquiriu experiência e gerou soluções inéditas para muitas empresas.
Com o crescimento dos números de ataques por ransomware pelo mundo, nossa equipe de desenvolvimento estudou, analisou de perto e desenvolveu uma solução que nos permite recuperar dados encriptados por ransomware em qualquer dispositivo de armazenamento.
Essa solução, chamada Tracer, foi criada com base na segurança dos dados de nossos clientes. Um acordo de confidencialidade (NDA) é colocado a disposição em cada um de nossos projetos.
Conseguimos atuar em qualquer país do mundo de forma remota. Após um diagnóstico avançado, conseguimos determinar a possibilidade de recuperação.
Entre em contato conosco! Nossa equipe multi-idiomas está disponível 24/7 e está aqui para te atender da melhor forma.
