Check Point Research analisa o Azov Ransomware

Check Point Research analisa o Azov Ransomware

• CPR analisou 17000 amostras do Azov Ransomware
• O malware é capaz de modificar certos executáveis de 64 bits para executar o seu próprio código
• Identificadas duas versões do “Azov Ransmoware”

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, lançou a primeira analise técnica do Azov Ransomware, onde se constata que o malware é um Wiper e não um ransomware. O malware é concebido de forma para reescrever ficheiros até um ponto irreconhecível e destruir inteiramente o sistema em que corre.

A Check Point Research apresenta a sua análise do "Azov ransomware", demonstrando que se trata de um wiper avançado e não de um ransomware. O malware é capaz de reescrever ficheiros e destruir o sistema em que é executado. 

Em Outubro, um agente começou a difundir o "Azov Ransomware" através de cracks e softwares piratas que fingia encriptar os ficheiros das vítimas. 

A CPR analisou mais de 17.000 amostras relacionadas com Azov submetidas na VirusTotal.

Detalhes do Wiper: 

• Capaz de modificar certos executáveis de 64 bits para executar o seu próprio código
• Visto em duas versões diferentes, uma mais antiga e outra ligeiramente mais recente 
• Versão mais recente utiliza uma nota de resgate diferente, bem como uma extensão de ficheiro diferente para ficheiros destruídos
• Utiliza o SmokeLoader botnet e programas com trojans para se espalhar
• Bomba lógica" preparada para detonar a uma determinada hora

Citação: Eli Smadja, Head of Research na Check Point Software 

"O Azov ransomware não é um ransomware. É na verdade um wiper muito avançado e bem escrito, delicadamente concebido para destruir o sistema comprometido em que funciona. Realizámos a primeira análise profunda do malware, provando a sua verdadeira identidade de wiper. Uma coisa que diferencia o Azov dos outros wipers é a sua modificação de certos executáveis de 64 bits para executar o seu próprio código. A modificação dos executáveis é feita usando código polimórfico, de modo a não ser potencialmente prejudicado por assinaturas estáticas. O malware utiliza o botnet do SmokeLoader e programas modificados para se espalhar. Este é um dos malwares mais sérios a ter cuidado, pois é capaz de tornar o sistema e os ficheiros irrecuperáveis".

Dicas de segurança: 

• Faça uma cópia de segurança dos seus dados 
• Mantenha as correções dos softwares atualizadas
• Utilize autenticação multifactor