titulo

titulo

O ransomware JIGSAW é uma nova ameaça que surgiu, e que deleta os seus arquivos assim que você vacila para pagar o resgate. Um novo cripto-malware surgiu e se chama ransomware JIGSAW. O BitcoinBlackmailer.exe explica que o ransomware JIGSAW irá adicionar a extensão .FUN nos arquivos.

O autor, no estilo Jogos Mortais, exibe a face do personagem Billy, A marionete, do filme de terror e então ameaça deletar arquivos se o resgate não for pago dentro de um limite de tempo. Os engenheiros de segurança da Forcepointe Security Labs foram capazes de realizar a engenharia reversa do malware e obter a chave de encriptação usada pelo JIGSAW para criptografar os arquivos e 100 endereços de Bitcoin usados para o pagamento do resgate.

O uso de imagens do filme de terror causa aflição nas vítimas, e é uma nova técnica usada pelo autor do malware que também tenta ofuscar o código .NET para prevenir a análise. Felizmente, para os especialistas foi fácil decifrar o código fonte e os permitir conduzir uma análise minuciosa no ransomware JIGSAW. O malware foi criado com padrões pobres de codificação, de tal forma que foi facilmente decomposto pela engenharia reversa, e que qualquer analista de início de carreira seria capaz de fazer, uma vez que o autor se esqueceu de remover o texto do executável.

A análise da Forcepoint Security Labs reporta: “O malware escrito em .NET pode ser facilmente decomposto pela engenharia reversa, sem maiores dificuldades. Isso nos ajuda muito, e tanto, que a Forcepoint Security Labs foi capaz de recuperar a chave de criptografia (destacada em amarelo) usada pelo malware para codificar os arquivos”.

Ainda segundo o site securityaffairs.co, os especialistas abalizaram um número das mais recentes variantes do ransomware JIGSAW, e eles observaram uma quantidade de atributos, incluindo o tamanho, estampas de tempo e meta dados extraídos das imagens com a ferramenta ExifTool. O site também informar que o malware estava sendo vendido desde 139 dólares no mercado do TOR, e com a aquisição do malware estava sendo disponibilizado o código fonte em C# com um tutorial passo a passo para a utilização.

fonte:

http://securityaffairs.co/wordpress/46564/malware/jigsaw-ransomware.html

http://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/JIGSAW-ransomware-2.png?w=698

https://blogs.forcepoint.com/security-labs/jigsaw-some-missing-pieces

http://www.sno.phy.queensu.ca/~phil/exiftool/

https://blogs.forcepoint.com/security-labs/piecing-together-jigsaw-puzzle

https://youtu.be/ohWwls5mrnw