Vovalex é o primeiro ransomware escrito em Dlang

by Brendan Smith
abril 29, 2021
Uma nova família de ransomware chamada Vovalex se espalhará por meio de software pirata disfarçado de utilitários populares do Windows, como o CCleaner.
Inscreva-se em nosso canal no Telegram para ser o primeiro a saber sobre as novidades e nossos materiais exclusivos sobre segurança da informação.

O Vovalex ransomware possui um recurso especial que o distingue de outros malwares dessa classe. Em termos de funcionalidade e princípio de funcionamento, o Vovalex não é diferente de outro ransomware: ele criptografa os arquivos da vítima e, em seguida, deixa-a com uma nota de resgate. No entanto, o pesquisador Vitaly Kremets, que descobriu um novo ransomware, revelou um recurso interessante.

🏷️ D (ou Dlang) é uma linguagem de programação de propósito geral com tipagem estática, acesso em nível de sistema e sintaxe semelhante a C. Com a linguagem de programação D, escreva rápido, leia rápido e execute rápido.

De acordo com o especialista, Vovalex pode ser o primeiro ransomware escrito na linguagem de programação D. De acordo com a descrição no site oficial, os criadores do D (ou Dlang) se inspiraram no C++. No entanto, D também é conhecido por pegar emprestado vários componentes de outras linguagens. Como regra, os cibercriminosos não usam o Dlang, mas, neste caso, como sugeriu Vitaly Kremets, os invasores provavelmente estão tentando contornar a detecção por programas antivírus.

A equipe MalwareHunterTeam foi a primeira a tropeçar no Vovalex e postou uma amostra do ransomware Vovalex no VirusTotal. Os caras do BleepingComputer1 analisaram a amostra e chegaram à conclusão de que o ransomware é distribuído como uma cópia ilegal do utilitário CCleaner para sistemas Windows. Durante o processo de inicialização, Vovalex abre uma cópia legítima do instalador CCleaner e coloca sua cópia com um nome de arquivo arbitrário no diretório %Temp%.

Fake CCleaner Installer

Fake CCleaner Installer

Depois disso, o malware começa a criptografar arquivos no computador da vítima, adicionando a extensão .vovalex a eles. A última etapa é copiar uma nota com os requisitos para a área de trabalho – README.VOVALEX.txt. Os invasores pedem 0,5 XMR (criptomoeda Monero) para um decodificador. Em dólares, esse valor é de aproximadamente $ 69,54.

Aqui está um resumo do Vovalex:
Nome Vovalex Virus
Contatos [email protected]
Nota de ransomware README.VOVALEX.txt
Extensão .vovalex
Detecção2 Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Sintomas Seus arquivos (fotos, vídeos, documentos) têm a extensão .vovalex e você não pode abri-los.
Ferramenta de correção Veja se o seu sistema foi afetado pelo vírus Vovalex

References

  1. Vovalex is likely the first ransomware written in D: bleepingcomputer.com
  2. Enciclopédia de ameaças.

Inglês Alemão Japonês Espanhol Francês Turco Chinês (Tradicional) Coreano Indonésio

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment