Em resumo: O malware funciona explorando vulnerabilidades em software e hardware. No entanto, o malware em si também é software e, inevitavelmente, tem suas próprias vulnerabilidades. Um pesquisador de segurança começou a tirar proveito disso publicando explorações usando vulnerabilidades em várias variedades de ransomware.
O pesquisador de segurança John Page (também conhecido como hyp3rlinx) é especializado em encontrar bugs em malware e publicá-los em seu site e Conta do Twitter. Recentemente, ele publicou uma maneira de usar essas vulnerabilidades para impedir que o ransomware criptografe arquivos.
Acontece que muitas formas de ransomware são suscetíveis ao sequestro de DLL. Normalmente, os invasores usam o seqüestro de DLL para induzir um programa a carregar um arquivo DLL que não deveria, o que os faz executar código indesejado. No entanto, os defensores atualmente podem usar a técnica para sequestrar e bloquear parcialmente o ransomware.
O site da página contém vulnerabilidades e DLLs personalizadas para as versões mais recentes de ransomwares, incluindo REvil, Wannacry, Conti e muito mais. Para funcionar corretamente, as DLLs precisam estar esperando em diretórios onde os invasores provavelmente colocarão seu malware. Page sugere uma abordagem em camadas, como colocá-los em um compartilhamento de rede contendo dados importantes. Como as DLLs não são executadas até que o ransomware as acesse, elas evitam a tendência do ransomware de subverter a proteção antivírus.
O seqüestro de DLL só funciona no Windows, então, infelizmente, o método de Page não protegerá usuários de Mac, Linux ou Android. Também não impede que gangues de ransomware acessem sistemas e vazem dados. Ele apenas interrompe a criptografia, o que significa que os invasores não podem resgatar os dados de suas vítimas (a menos que a ameaça seja vazá-los).
Com essas vulnerabilidades agora públicas, os desenvolvedores de ransomware certamente as corrigirão. Espero que os pesquisadores continuem a encontrar mais.
