Ransomware usa formato de imagem Java para se ocultar

Os pesquisadores de segurança também descobriram que o malware foi projetado para atingir sistemas Windows e Linux. A configuração do ransomware inclui o endereço de e-mail do invasor, a chave pública RSA, o conteúdo da nota de resgate, uma lista de exclusões e uma lista de comandos shell a serem executados. Quando executado, o malware realiza um conjunto de comandos shell especificados no arquivo de configuração.

O Tycoon exclui os arquivos originais após a criptografia e também os sobrescreve para evitar a recuperação. O utilitário incorporado do Windows cipher.exe é explorado para esta tarefa. Durante a criptografia, o malware ignora partes de arquivos maiores para acelerar o processo, o que resulta em danos e inutilização desses arquivos.

O Tycoon está à solta há pelo menos seis meses, mas parece haver um número limitado de vítimas. Isso sugere que o malware pode ser altamente direcionado. Também pode fazer parte de uma campanha mais ampla que utiliza diversas soluções de ransomware diferentes, dependendo do que for considerado mais bem-sucedido em ambientes específicos, observa a BlackBerry.

O blog da Blackberry traz mais detalhes sobre como opera o Tycoon. Para acessá-lo clique aqui.

Créditos: CISO Advisor