Azov ransomware é o “malware do capeta” que exclui 666 bytes de dados por vez, mas a troco de que?
9 de novembro de 2022
Hoje vamos falar sobre o Azov Ransomware, um malware que nas últimas semanas está infectando computadores ao redor do mundo. Agentes de segurança acreditam que ele tenha a finalidade de ser um limpador de dados. Então, além de infectar programas da vítima, ele destrói os seus dados. A troco de quê? Veremos aqui.
Azov Ransomware – Imagem: Reprodução/Freepik
Um malware diabólico: como o Azov Ransomware atua?
Um criminoso ou grupo passou a distribuir o “Azov Ransomware” há cerca de um mês, como destaca o BleepingComputer. O meio pelo qual ele tem feito vítimas? Através de softwares e cracks que fingem ser ferramentas para criptografar arquivos. Na verdade, criptografam o computador da pessoa que baixa com má intenção.
Mas isso não é tudo, pois quando a vítima tem acesso à página de recuperação, as informações de contato são falsas. Elas levam a jornalistas ou pesquisadores, com o fim de incriminá-los pelo ransomware.
O que levou os agentes a considerarem o Azov Ransomware um limpador de dados, é o fato de não ter nenhuma informação para contato. Afinal, após a infecção de um computador neste tipo de ataque, a vítima tem acesso a um documento que a orienta na recuperação dos seus arquivos.
Você não vai querer limpar seu computador com este programa
Foi na semana passada, que o pesquisador de segurança, Jiří Vinopal, da Checkpoint, confirmou a aparição do Azov Ransomware. Em seguida, ele informou ao BleepingComputer que o malware tem a finalidade de corromper dados.
Vinopal ainda detalhou dizendo que o ransomware corrompe um arquivo, e substitui o seu conteúdo em pedaços alternados de 666 bytes de lixo. A brincadeira com o “diabólico”, decorre da numerologia bíblica, que destaca o número 666 como sendo do diabo.
“Cada ciclo exatamente de 666 bytes estão sendo substituídos por dados aleatórios (dados não inicializados) e os próximos 666 bytes são deixados originais. Isso funciona em um loop, então a estrutura de arquivos limpa ficaria assim: 666 bytes de lixo, 666 bytes originais, 666 bytes de lixo, 666 bytes originais, etc…”
Segundo o agente de segurança, o malware continua sendo distribuído através do botnet Smokeloader. Ele normalmente está entre softwares crackeados ou sites piratas, em sua maioria, os de downloads.
É importante destacar alguns pontos, o primeiro é: evitar sites piratas ou programas crackeados. O segundo, é que as vítimas desse ataque não podem recuperar os arquivos que elas perderem. Até o momento, os agentes também não sabem qual é o objetivo por trás do ataque, afinal, seria um despejo de dinheiro à toa.
Por outro lado, agentes de segurança acreditam que possa ser uma forma de “trollar” a comunidade de segurança cibernética, ou apenas encobrir outro ataque maior. Por fim, o último destaque é que este ransomware, embora leve o nome do regimento militar ucraniano ‘Azov’, provavelmente não tem relação com o país, segundo o agente de defesa.
A sua tentativa de “incriminar” outras pessoas como sendo donos do ransomware, por exemplo, usando nome de um grupo ucraniano, leva a crer que sua verdadeira origem seja russa, país em conflito com a Ucrânia. Porém, isso tudo não passa de especulação até o momento.
Com informações: Bleeping Computer
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui
