Novo ransomware é capaz de desativar Windows Defender antes de encriptar ficheiros

Views: 87
0 0
Read Time:1 Minute, 22 Second

Uma nova variante de ransomware foi descoberta e encontra-se em forte expansão, sendo que se destaca por ter código especificamente criado para desativar as funcionalidades de segurança de alguns programas antivírus e Anti-Ransomware.

Apelidado de Clop CryptoMix, este ransomware tem vindo a ser cada vez mais divulgado em vários formatos, mas o objetivo final é sempre o mesmo: encriptar o máximo de dados possíveis das vitimas.

De acordo com o investigador Vitali Kremez, o ransomware encontra-se especificamente desenhado para ser o mais transparente possível nas suas atividades, contando com código desenhado para desativar as funcionalidades de segurança de alguns softwares de proteção, como é o caso do Windows Defender e Malwarebytes.

No caso do Windows Defender, o ransomware tenta aplicar algumas configurações no registo, de forma a que o programa desative as suas proteções da próxima vez que o sistema for reiniciado. Felizmente a proteção de anti-tampering das versões recentes do Defender previne esta execução, mas ainda assim existe o risco dos ficheiros serem encriptados se o ataque não for detetado a tempo.

O ransomware tenta ainda desinstalar versões antigas do Microsoft Security Essentials e do Malwarebytes Anti-Ransomware, de forma a evitar ser detetado por estes programas antes de começar realmente a encriptar os ficheiros.

Os meios de distribuição deste ransomware tem vindo a ser variados, desde anexos em emails a conteúdos descarregados a partir da internet ou de outros malwares no sistema. Em todo o caso, a proteção e utilização de uma solução de segurança nos sistemas ainda é a melhor forma de prevenir que seja afetado por ransomware ou qualquer outra surpresa indesejada.

FONTE: TUGATECH

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *