Uma nova variante de ransomware foi descoberta e encontra-se em forte expansão, sendo que se destaca por ter código especificamente criado para desativar as funcionalidades de segurança de alguns programas antivírus e Anti-Ransomware.
Apelidado de Clop CryptoMix, este ransomware tem vindo a ser cada vez mais divulgado em vários formatos, mas o objetivo final é sempre o mesmo: encriptar o máximo de dados possíveis das vitimas.
De acordo com o investigador Vitali Kremez, o ransomware encontra-se especificamente desenhado para ser o mais transparente possível nas suas atividades, contando com código desenhado para desativar as funcionalidades de segurança de alguns softwares de proteção, como é o caso do Windows Defender e Malwarebytes.
No caso do Windows Defender, o ransomware tenta aplicar algumas configurações no registo, de forma a que o programa desative as suas proteções da próxima vez que o sistema for reiniciado. Felizmente a proteção de anti-tampering das versões recentes do Defender previne esta execução, mas ainda assim existe o risco dos ficheiros serem encriptados se o ataque não for detetado a tempo.
O ransomware tenta ainda desinstalar versões antigas do Microsoft Security Essentials e do Malwarebytes Anti-Ransomware, de forma a evitar ser detetado por estes programas antes de começar realmente a encriptar os ficheiros.
Os meios de distribuição deste ransomware tem vindo a ser variados, desde anexos em emails a conteúdos descarregados a partir da internet ou de outros malwares no sistema. Em todo o caso, a proteção e utilização de uma solução de segurança nos sistemas ainda é a melhor forma de prevenir que seja afetado por ransomware ou qualquer outra surpresa indesejada.
FONTE: TUGATECH