[CA7389] O Ransomware Shield contorna as mitigações

NOTA:

Esta página foi traduzida por um computador. Clique em inglês em Idiomas nesta página para exibir o texto original. Se você encontrar algo que não esteja claro, por favor entre em contato com o suporte local.

Aviso ao cliente ESET 2020-0002
21 de janeiro de 2020
Gravidade: Média

Resumo

A ESET tomou conhecimento de um possível desvio de seu recurso Ransomware Shield nos produtos para consumidores, empresas e servidores para Windows. A ESET identificou o método subjacente usado para administrar esse ataque e preparou atualizações, que os produtos afetados baixam automaticamente.

Detalhes e solução

A ESET recebeu um relatório com um código de prova de conceito anexado, afirmando que em uma máquina com um produto ESET afetado instalado e o Ransomware Shield ativado, era possível para um invasor usar indevidamente a função padrão do Windows API EncryptFile para criptografar maliciosamenteos arquivos do usuário.

A ESET solucionou este problema preparando uma versão atualizada do módulo HIPS (1380.2 e posteriores), que contém a função Proteção contra Ransomware, para a versão 13 dos produtos de consumo da ESET, junto com uma atualização do motor de detecção para todos os produtos afetados que bloqueiam os arquivos maliciosos utilizados para administrar este ataque. Uma atualização separada do módulo HIPS para empresas, servidores e versões anteriores dos produtos de consumo será lançada para poder abordar as mudanças em toda a linha de produtos.

Uma vez lançados, os respectivos módulos serão atualizados automaticamente e não será necessária nenhuma intervenção do usuário. Enquanto isso, os usuários podem executar uma das duas ações a seguir para proteger seus sistemas contra esse desvio:

  1. Criar uma regra de HIPS para solicitar permissão sempre que um processo quiser fazer qualquer alteração em %PROGRAMDATA%\Microsoft\Crypto\RSA\MachineKeys*.

  2. Torne o desvio não funcional desativando o recurso Encrypting File System no Windows (recomendado se não estiver usando ativamente o recurso). Para desativar esse recurso, execute fsutil behavior set disableencryption 1 em um prompt de comando elevado ou navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem no Editor do Registro e altere o valor de NtfsDisableEncryption para 1.

Programas e versões afetados

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security e ESET Smart Security Premium 10 e posteriores
  • ESET Endpoint Antivirus e ESET Endpoint Security 7 e posteriores
  • Produtos de segurança para servidores ESET 7 e posteriores

Feedback e suporte

Se tiver algum comentário ou pergunta sobre este assunto, por favor, entre em contato conosco através do Fórum de Segurança da ESET ou através de suporte técnico local da ESET.

Reconhecimento

A ESET valoriza os princípios de divulgação responsável dentro da indústria de segurança e gostaria de expressar nossos agradecimentos ao SafeBreach, que relatou este problema.

Registro da versão

Versão 1.0 (21 de janeiro de 2020): Versão inicial deste documento

Última atualizaçăo: 6 de mar. de 2026

Mais Artigos:

Ajuda on-line

ESET Security Forum

Vídeos da Base de Conhecimento
ESET Status Portal ESET Technical Support

Cliente atual?