Por volta de Julho deste ano, o HavanaCrypt ransomware surgiu no mundo informático. Conduziu ataques com uma reviravolta interessante. HavanaCrypt apresenta-se como uma actualização do software do Google para encriptação de máquinas virtuais.
O serviço de resgate é escrito na língua .NET e utiliza um obfuscador OpenSource chamado Obfuscate para esconder os nomes das funções utilizadas no ransomware.
O grupo por detrás do ransomware, conseguiu implementar mecanismos anti-análise, tornando-se praticamente invisível para os utilizadores e programas de segurança.
O ponto exacto de introdução no sistema da vítima ainda não é conhecido. Os investigadores dizem que é possível que isto ocorra através de campanhas de correio electrónico ou do download inadvertido de software portador do malware.
O que é claro é que a informação do executável malicioso foi modificada para sugerir que o autor é Google e o nome do programa é Google Software Update.
Sabemos que os criadores do HavanaCrypt fizeram um grande esforço para assegurar que os scans de segurança estáticos e automatizados não detectassem o malware. Utilizam controlos de segurança antes de efectuarem a encriptação.
Se a verificação for negativa, o malware não é executado. Se for bem sucedido, o ransomware descarrega um ficheiro .txt a partir de um endereço IP ligado aos serviços de alojamento Web da Microsoft. Este ficheiro é um script que adiciona certas pastas à lista de exclusão do Windows Defender.
O ransomware recolhe então informações sobre a máquina infectada, depois exfiltra os dados infectados, que são enviados para um servidor de comando e controlo (C2), que atribui um código de identificação único e gera chaves de encriptação únicas.
O vírus verifica o sistema em busca de todos os ficheiros, pastas, unidades e discos e adiciona a extensão .Havana a todos os ficheiros encriptados. Os ficheiros tornam-se então inacessíveis para o utilizador.
Ao contrário de outros ransomware, HavanaCrypt não gera nenhum pedido de resgate. Isto leva-nos a acreditar que o HavanaCrypt ransomware utiliza outro meio para gerar os seus ganhos.
Recuperar ficheiros encriptados por HavanaCrypt ransomware
Hoje em dia, pode contar com empresas qualificadas para a recuperação de dados encriptados. Entre elas está a Digital Recovery.
Presente no mercado da recuperação de dados há mais de 23 anos, a Digital Recovery ganhou experiência e gerou soluções sem precedentes para muitas empresas.
Com o número crescente de ataques de resgate a nível mundial, a nossa equipa de desenvolvimento pesquisou, analisou cuidadosamente e desenvolveu uma solução que nos permite recuperar ficheiros encriptados por ransomware em qualquer dispositivo de armazenamento.
Esta solução, chamada Tracer, foi criada com base na segurança dos dados dos nossos clientes. É celebrado um acordo de confidencialidade (NDA) para cada projecto.
Somos capazes de operar à distância em qualquer país do mundo. Após um diagnóstico avançado, podemos determinar as hipóteses de recuperação.
Entre em contacto connosco! A nossa equipa multilingue está disponível 24/7 e está aqui para o servir da melhor forma possível.
