Cyrat Ransomware

O Cyrat Ransomware é uma ameaça de malware de bloqueio de dados bastante peculiar que criptografa arquivos e exige pagamento por sua restauração. O Cyrat Ransomware é compilado usando um Python versão 3.7 e é convertido em um arquivo do Windows PE através do PyInstaller, conforme descoberto pelos pesquisadores do G DATA.

Uma vez executado no computador comprometido, o Cyrat Ransomware se apresenta como um fixador de DLL. Ele gera uma janela com arquivos DLL selecionados aleatoriamente que afirma estar reparando no momento. O que está acontecendo, porém, é que ao mesmo tempo os arquivos encontrados no sistema estão sendo criptografados e, quando o processo é finalizado, é exibida na janela uma mensagem de que os arquivos DLL foram corrigidos com sucesso.

O Cyrat Ransomware tem como alvo pastas específicas na máquina comprometida - 'Desktop,' 'Downloads,' 'Imagens,' 'Música,' 'Vídeos' e 'Documentos' e cerca de 200 tipos de arquivos diferentes para criptografia, retirados de um código rígido lista de extensões. Entre os arquivos alvo estão documentos do MS Office, bancos de dados, arquivos de áudio e vídeo, arquivos de imagem, etc. No entanto, há um bug com várias das extensões listadas, pois os hackers deixaram alguns deles com um ponto antes da própria extensão - '. ARC, '' .cpp, '' .cgm, '' .js, '' .fla, '' .asc, '' .crt 'e' .sch '. De acordo com os pesquisadores que analisaram o Cyrat, o malware nunca criptografará esses tipos de arquivo.

Em uma decisão bastante única, os criadores do Cyrat decidiram evitar o uso de qualquer uma das técnicas de criptografia populares empregadas por ameaças de ransomware, como uma combinação assimétrica de dois ou mais algoritmos criptográficos. Em vez disso, Cyrat usa Fernet para criptografar os arquivos do usuário. Fernet é um método de criptografia simétrica projetado para pequenos arquivos que podem ser criptografados na RAM especificamente. Essa decisão pode ser problemática porque o malware não faz distinção entre arquivos pequenos e aqueles com vários gigabytes de tamanho.

A nota de resgate lançada pelo Cyrat Ransomware está contida em um arquivo de texto colocado em cada uma das pastas específicas de destino. O nome do arquivo é 'RANSOME_NOTE.txt.' Uma imagem baixada de 'images.idgesg.net' e armazenada em ' Documents \ background_img.png ' é definida como um novo plano de fundo da área de trabalho. Não contém nenhum texto.

O Cyrat Ransomware está equipado para excluir as Cópias do Shadow Volume  e pode desativar ferramentas legítimas do Windows, como CMD e o Gerenciador de Tarefas. Para obter persistência, o malware se copia para a pasta autostart no '\AppDat\Roaming\Microsoft\Windows\Menu Iniciar\ rogramas\Inicializar'.

Embora de acordo com os pesquisadores da G DATA, a variante atual do Cyrat Ransomware pareça ser um trabalho em andamento, os hackers podem lançar uma versão final a qualquer momento. Eles também encontraram sinais no código que apontam para a expansão futura das plataformas-alvo para incluir os sistemas Darwin e Linux.