# PyDCrypt > Tipo: **malware** · S1032 · [MITRE ATT&CK](https://attack.mitre.org/software/S1032) ## Descrição [[s1032-pydcrypt|PyDCrypt]] é um malware escrito em Python projetado para entregar o [[s1033-dcsrv|DCSrv]], o componente de criptografia destrutiva utilizado pelo [[g1009-moses-staff|Moses Staff]]. Foi empregado pelo grupo desde pelo menos setembro de 2021, com cada amostra compilada e personalizada para a organização-alvo específica, o que dificulta a detecção por assinaturas genéricas. O PyDCrypt atua como um dropper sofisticado: ele desabilita o firewall do Windows, realiza reconhecimento básico de rede e do sistema, decodifica e executa o payload [[s1033-dcsrv|DCSrv]] a partir de um arquivo cifrado embutido. O malware usa [[t1059-001-powershell|PowerShell]] e [[t1047-windows-management-instrumentation|WMI]] para execução de comandos, e faz uso de [[t1027-013-encryptedencoded-file|arquivos cifrados]] para ocultar o payload final, tornando a análise estática mais difícil. O [[g1009-moses-staff|Moses Staff]] utilizou o PyDCrypt como parte de uma cadeia de ataque com motivação ideológica e política, visando organizações israelenses. O grupo combina o PyDCrypt com o [[s1033-dcsrv|DCSrv]] para causar impacto destrutivo, criptografando partições de disco sem qualquer mecanismo de resgaté - o objetivo é a destruição de dados e o dano reputacional às vítimas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-006-python|T1059.006 - Python]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g1009-moses-staff|Moses Staff]] ## Detecção A detecção do PyDCrypt é desafiadora devido à personalização por vítima e ao uso de Python compilado. Indicadores relevantes incluem execução de scripts Python suspeitos que desabilitam o firewall via [[t1562-004-disable-or-modify-system-firewall|T1562.004]], presença de arquivos com extensões falsas disfarçadas de componentes legítimos ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]), e chamadas WMI incomuns combinadas com acesso a partições de disco. Soluções EDR devem monitorar processos Python iniciando operações de rede e executando comandos PowerShell em sequência rápida. ## Relevância LATAM/Brasil O PyDCrypt foi desenvolvido e empregado específicamente contra organizações israelenses pelo [[g1009-moses-staff|Moses Staff]], grupo com motivação política vinculado ao Irã. Embora não existam registros públicos de ataques diretos a organizações brasileiras ou latino-americanas por este malware, sua técnica de entrega - combinando scripts Python com payloads cifrados - é de interesse para equipes de defesa na região, pois táticas similares são adotadas por grupos com presença crescente no LATAM. A natureza destrutiva (sem resgaté) do DCSrv que o PyDCrypt entrega representa um risco diferenciado para setores governamentais e de infraestrutura crítica. ## Referências - [MITRE ATT&CK - S1032](https://attack.mitre.org/software/S1032)