Laboratórios de violação segura relatado que os invasores possam usar o sistema de arquivos criptografados do Windows (EFS) para suas necessidades. O Windows EFS pode ajudar os criptografadores e dificultar o trabalho dos antivírus.
O EFS faz parte dos sistemas operacionais Windows desde o lançamento do Windows 2000. Ao contrário da criptografia completa do BitLocker, O EFS pode criptografar seletivamente arquivos ou pastas individuais. Os pesquisadores agora alertam que o EFS apresenta interesse significativo para os criminosos.
“O fato é que utilizar as funções “nativas” do próprio Windows pode ser confuso para soluções de segurança que eventualmente perderão de vista o criptografador”, — dizem os pesquisadores do Safebreach Labs.
Para iniciar o ataque, o ransomware precisará gerar uma chave para EFS usando AdvApi32! CryptGenKey. Próximo, gerou o certificado usando Crypt32! CertCreateSelfSignCertificate que é adicionado ao armazenamento de certificados via Crypt32! CertAddCertificateContextToStore. Uma chave EFS é atribuída para este certificado usando AdvApi32! SetUserFileEncryptionKey.
Como resultado, o ransomware tem a oportunidade de usar o AdvApi32! EncryptFile para criptografar qualquer arquivo e pasta. A próxima etapa é salvar o arquivo-chave na memória e excluí-lo de %APPDATA% MicrosoftCryptoRSA[SID do usuário]\ and %ProgramData% \Microsoft\Crypto\RSA\MachineKeys\. Em seguida, os dados EFS são apagados da memória usando o AdvApi32 não documentado! FlushEfsCache e os arquivos criptografados tornam-se ilegíveis para o usuário e para o sistema operacional. O ransomware também pode “limpar” partes livres do disco para garantir que os dados dos arquivos principais excluídos e dos arquivos temporários não sejam restaurados.
“Com um acorde final, o malware pode criptografar os dados do arquivo chave e enviar a chave de descriptografia ao invasor. Como resultado, a única maneira de descriptografar os arquivos afetados é usar a chave privada do invasor”, – relatam especialistas do Safebreach Labs.
Pesquisadores testaram com sucesso o criptografador EFS criado para testes em versões de 64 bits do Windows 10 1803, 1809, e 1903. Os analistas também escrevem que o malware deve funcionar com versões de 32 bits do Windows e versões anteriores do sistema operacional (Windows 8.x, Windows 7 e Windows Vista).
O malware foi testado em combinação com o ESET Internet Security 12.1.34.0, Ferramenta Kaspersky Anti Ransomware para Empresas 4.0.0.861 (a), bem como MS Windows 10 Acesso controlado a pastas na versão de 64 bits do Windows 10 1809 (construir 17763). Nenhuma dessas soluções detectou um ataque e uma ameaça, mas isso era esperado porque o criptógrafo usava funções legítimas e manipulava a lógica do sistema.
Os pesquisadores informaram imediatamente 17 principais fabricantes de soluções de segurança sobre suas descobertas, mostrando a eles sua prova de conceito. A maioria deles reconheceu a existência do problema e já fez correções em seus produtos.
Recentemente, O Windows enfrentou uma verdadeira placa. A NSA disse que encontrou one of the most dangerous vulnerabilities in Windows, ainda ontem um temporary patch for a serious bug appeared in IE.
Desligue seu sistema e vá para o deserto. OK, foi uma piada. Mantenha seu sistema atualizado com as mais recentes soluções de segurança da informação. Tenho certeza que você sabe qual deles com certeza irá protegê-lo!
