Vovalex é o primeiro ransomware escrito em Dlang

Uma nova família de ransomware chamada Vovalex se espalhará por meio de software pirata disfarçado de utilitários populares do Windows, como o CCleaner.

Brendan Smith

Especialista em Segurança da Informação

É melhor prevenir do que remediar e se arrepender!

Quando falamos sobre a intrusão de programas desconhecidos no funcionamento do seu computador, o provérbio "Prevenir é melhor do que remediar" descreve a situação de maneira bastante precisa. O Gridinsoft Anti-Malware é exatamente a ferramenta que sempre é útil ter em sua arsenal: rápido, eficiente, atualizado. É apropriado usá-lo como ajuda de emergência ao menor suspeita de infecção.

BAIXAR AGORA

Teste de 6 dias do Anti-Malware disponível.
EULA | Política de Privacidade | 10% Off Coupon

Inscreva-se em nosso canal no Telegram para ser o primeiro a saber sobre as novidades e nossos materiais exclusivos sobre segurança da informação.

O Vovalex ransomware possui um recurso especial que o distingue de outros malwares dessa classe. Em termos de funcionalidade e princípio de funcionamento, o Vovalex não é diferente de outro ransomware: ele criptografa os arquivos da vítima e, em seguida, deixa-a com uma nota de resgate. No entanto, o pesquisador Vitaly Kremets, que descobriu um novo ransomware, revelou um recurso interessante.

🏷️ D (ou Dlang) é uma linguagem de programação de propósito geral com tipagem estática, acesso em nível de sistema e sintaxe semelhante a C. Com a linguagem de programação D, escreva rápido, leia rápido e execute rápido.

De acordo com o especialista, Vovalex pode ser o primeiro ransomware escrito na linguagem de programação D. De acordo com a descrição no site oficial, os criadores do D (ou Dlang) se inspiraram no C++. No entanto, D também é conhecido por pegar emprestado vários componentes de outras linguagens. Como regra, os cibercriminosos não usam o Dlang, mas, neste caso, como sugeriu Vitaly Kremets, os invasores provavelmente estão tentando contornar a detecção por programas antivírus.

2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tp
XMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS
— Vitali Kremez (@VK_Intel) January 29, 2021

A equipe MalwareHunterTeam foi a primeira a tropeçar no Vovalex e postou uma amostra do ransomware Vovalex no VirusTotal. Os caras do BleepingComputer¹ analisaram a amostra e chegaram à conclusão de que o ransomware é distribuído como uma cópia ilegal do utilitário CCleaner para sistemas Windows. Durante o processo de inicialização, Vovalex abre uma cópia legítima do instalador CCleaner e coloca sua cópia com um nome de arquivo arbitrário no diretório %Temp%.

Fake CCleaner Installer

Depois disso, o malware começa a criptografar arquivos no computador da vítima, adicionando a extensão .vovalex a eles. A última etapa é copiar uma nota com os requisitos para a área de trabalho – README.VOVALEX.txt. Os invasores pedem 0,5 XMR (criptomoeda Monero) para um decodificador. Em dólares, esse valor é de aproximadamente $ 69,54.

Aqui está um resumo do Vovalex:

Nome	Vovalex Virus
Contatos	VovanAndLexus@cock.li
Nota de ransomware	README.VOVALEX.txt
Extensão	.vovalex
Detecção²	Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Sintomas	Seus arquivos (fotos, vídeos, documentos) têm a extensão .vovalex e você não pode abri-los.
Ferramenta de correção	GridinSoft Anti-Malware Veja se o seu sistema foi afetado pelo vírus Vovalex