Ransomware maior praga virtual da atualidade

Ransomware maior praga virtual da atualidade, por isso resolvi estudar de forma mais profunda sobre esse tema. Busquei materiais em dezenas de sites, apostilas, cartilhas e vídeos, todo material produzido por empressas com credibilidade relacionados com segurança da ifnormação. Baseado em tudo que tenho estudado, realizei algumas anotações, compilei outros artigos, busquei testes realizados por empresas relacionadas a antivírus e afins. Munido de todo esse material, venho compartilhar com você esse novo artigo.

Ransomware é um tipo de malware que impede ou limita os usuários acessem seu sistema. Este tipo de malware obriga suas vítimas a pagar o resgate através de certos métodos de pagamento online, a fim de permitir o acesso aos seus sistemas, ou para obter seus dados de volta. Alguns ransomware criptografa arquivos (chamado Cryptolocker). Outro uso ransomware TOR para esconder C & C comunicações (CTB chamado Locker).

Funcionários de TI do Brasil inteiro estão tendo que lidar com uma ameaça perigosa. Um novo vírus utilizando uma criptografia pesada em arquivos importantes para forçar usuários e empresas a pagarem pela liberação dos dados. Os preços variam em cada resgate, variando de US$ 24 para mais de US$ 600 dólares ou no mesmo valor equivalente em outro moeda virtual, chamada de Bitcoin. É importante notar, entretanto, que pagar pelo resgate não garante que os usuários podem, eventualmente, acessar o sistema infectado. 

A técnica chamada de Ransomware (Ransom significa "resgate" em inglês), justamente pela estratégia de sequestrar dados e pedir liberação apenas mediante pagamento de resgate.

O tópico relacionado ao assunto no fórum oficial da Microsoft está repleto de relatos de técnicos que precisam lidar com este problema em servidores e estações de trabalho. O vírus se manifesta de maneira semelhante em todos os casos, comprimindo arquivos no formato .RAR criptografado.

O criminoso oferece um e-mail de contato no Gmail, com o qual é possível contatá-lo para um "orçamento" e também uma amostra de que ele é capaz de quebrar a criptografia. Ele permite o envio de um arquivo pouco importante e leve para provar que ele detém a chave. 

Alguns técnicos tem tentado utilizar o método de força bruta para tentar quebrar a senha, mas não tem obtido sucesso, devido à sua complexidade. 

Segundo o relato dos técnicos do fórum, a ameaça utiliza o protocolo RDP para se infiltrar na máquina e precisa de privilégios de administrador para realizar os seus procedimentos.

Os usuários podem encontrar esta ameaça através de uma variedade de meios. Ransomware pode ser baixado inconscientemente por usuários ao visitar sites maliciosos ou também realizando download de anexos recebidos ou clicando em links desconhecidos recebidos por e-mail, essas são as formas mais comuns de ser infectado atualmente.

Uma vez executado no sistema, um ransomware pode bloquear o ecrã do computador ou criptografar arquivos predeterminados com uma palavra-passe. No primeiro cenário, um ransomware mostra uma imagem em tela cheia ou notificação, o que impede as vítimas de utilizar o seu sistema. Isto mostra também as instruções sobre como os usuários podem pagar o resgate. O segundo tipo de bloqueio de ransomware por arquivos, tais como documentos, planilhas, imagens e outros arquivos importantes.

Ransomware é considerado um "scareware", uma vez que obriga os usuários a pagar uma taxa ou resgate por assustar ou intimidar. Neste sentido, é semelhante ao malware FAKEAV, embora usando uma tática diferente. Em vez de capturar o sistema infectado ou criptografar arquivos, FAKEAV persuade os usuários a comprar o seu software antimalware falso, mostrando falsos antimalware resultados de digitalização.

ransomware-101

Ransomware maior praga virtual da atualidade

Antes que houvesse ransomware

É fácil pensar de ransomware como um problema moderno, mas o conceito remonta a 26 anos atrás. O primeiro caso documentado de ransomware foi o Trojan AIDS, de 1989. A ameaça se espalhou criptografando arquivos nos computadores, em seguida, pedindo que os usuários paguem para decifrar os códigos. Claro, o Trojan AIDS não era apresentado como ransomware, mas usou o mesmo truque que vemos hoje, punindo supostamente alguém por usar software sem licença.

Enquanto o Trojan AIDS pode ser o primeiro ransomware, que era na verdade um aplicativo enganoso que realmente deu início à tendência de extorsão digital que vemos hoje. Como ransomware, aplicações enganosas e fraudes em antivírus falsos foram projetados para gerar receita de forma fraudulenta por parte dos utilizadores.

Foram vistos primeiros casos de infecção ransomware entre os anos de 2005 e 2006, na Rússia. A Tren Micro, empresa focada em segurança da informação relatou um incidente ela primeira vez em 2006, em que uma variante ransomware (detectado como TROJ_CRYZIP.A) fechou certos tipos de arquivos e substitui estes, deixando apenas os arquivos zip protegidos por senha no sistema do usuário. Ele também criou um bloco de notas, que se apresenta como o bilhete de resgate para informar aos usuários que eles podem recuperar seus arquivos em troca de US$ 300 dólares.

Durante sua fase inicial, ransomware eram tipicamente arquivos que criptografam particulares tipos de arquivo (.doc, .XL, .dll, .exe, apenas para citar alguns).

Em 2011, foi registrado o primeiro relatou sobre um ransomware SMS, ameaça na qual foram convidados os usuários com sistemas infectados para discar um número de SMS premium. Detectado como TROJ_RANSOM.QOWA, essa variante também exibe uma página ransomware repetidamente para os usuários até que finalmente pagar o resgate através da marcação de um certo número premium.

Tempos depois foi descoberto um ransomware que infecta o Master Boot Record (MBR) de um sistema vulnerável. Como alvo a MBR, o problema impede que o sistema operacional seja carregado. Para fazer isso, os exemplares de malware da MBR originais eram substituidos por um código malicioso. Depois de fazer esta rotina, ele reinicia automaticamente o sistema para que a infecção tenha efeito. Quando o sistema era reiniciado, o ransomware exibe sua notificação (em russo).

Ransomware maior praga virtual da atualidade​ pula para fora da Rússia

Infecção ransomware foi inicialmente limitada a Rússia. Mas sua popularidade e modelo de negócio rentável logo encontrou seu caminho em outros países por toda a Europa. Em março de 2012, foram notados a propagação contínua da infecção ransomware em toda a Europa, nos Estados Unidos e no Canadá. Semelhante a TROJ_RANSOM.BOV, esta enorme quantidade de ransomware exibe uma página de notificação da agência de polícia local da vítima em vez da nota de resgate típico.

Foi descoberto uma tática diferente para espalhar variantes de ransomware. O site de uma empresa de confeitaria muito conhecido com sede em França, foi um alvo aparentemente improvável para o crime virtual. O site da Ladurée foi comprometido, de modo a infectar sistemas dos usuários com ransomware. O ransomware, detectado como TROJ_RANSOM.BOV finge ser notificações da Gendarmerie Nacional (francês: nationale Gendarmerie), vulgarmente conhecida como a polícia francesa. Ele exibe uma janela que cobre toda a área de trabalho e exige o pagamento, ou seja, mantendo o resgate do sistema.

Além de infectar utilizadores franceses que visitaram o site da Ladurée, também houve várias infecções observadas no Japão. Como se constata, doces Ladurée são populares entre os japoneses; na verdade o site da Ladurée só se traduz para o francês, Inglês e Japonês.

Usando site de uma empresa de confeitaria mostra a capacidade dos criminosos virtuais para adaptar-se e ir para onde eles pensam que vão encontrar potenciais vítimas. 

Neste caso, o ataque faz uso do  Blackhole Exploit kit, a fim de soltar malware em sistemas. É a mesma família de malware que tem sido utilizado no passado para representar outras agências da lei, tais como o Bundespolizei na Alemanha. Além da componente ransomware do malware, ele também rouba credenciais para uma longa lista de programas e sites, incluindo contas de e-mail, senhas do navegador, redes sociais, sites de poker, senhas FTP e Remote Desktop, ou seja, Área de Conexão Remota.

Percebemos que o nome de domínio do URL usado para hospedar o Blackhole Exploir kit foi suspensa. Com base nos registros, que foi criado em 9 de fevereiro de 2012 e atualizado em 14 de fevereiro, o domínio mostra uma .ru endereço de e-mail que pode ajudar na identificação de um possível suspeito, mas isso pode ser apenas uma conta de e-mail comprometida para que as informações pode não ser confiável. Por exemplo, a informação WHOIS afirma que o proprietário do domínio é baseado em Moscou, mas a conta de e-mail vinculado ao domínio, diz que o proprietário é baseado em uma cidade cerca de 4 horas de Moscou. 

Observamos também que domínios relacionados a esta campanha estão todos hospedados em um conjunto comum de endereços IP. Os sites relacionados são da mesma gangue, mas não é usado neste ataque em particular. Essa quadrilha também já interpretou notificações policiais da Itália, Espanha, Alemanha e Bélgica, entre outros. Cada um destes domínios usam diferentes endereços de e-mail para o registo, a maioria termina em .ru. 

Ransomware como um modelo de negócio rentável, ao fazer ameaças mais eficaz e mais difíceis de identificar, os criminosos digitais tem uma chance maior de obter lucros mais substanciais. Este ataque ransomware, no entanto, mostra que, por vezes, até mesmo as mais simples e diretas ameaças ainda funcionam. O resgate exigido pode ser relativamente de valor pequeno a ser pago para pessoas que valorizam seus dados. No entanto, quando esse montante multiplica em milhares de pessoas ou empressas, junta-se muito dinheiro que pode ser usado para financiar empreendimentos mais complexos e possivelmente mais destrutivos.

The Rise of Reveton ou Polícia Ransomware

Reveton (também conhecida como Police Ransomware ou Police Trojan) é um tipo de ransomware que personifica agência de aplicação da lei. Estes malwares tipicamente mostra uma página de notificação supostamente enviada pela agência de aplicação da lei local da vítima, informando que eles foram pegos fazendo uma atividade ilegal ou maliciosa online.

Para saber qual agência de aplicação local é aplicável aos usuários, Reveton variantes rastrear a localização geográfica de suas vítimas. Assim, os usuários afetados que vivem em os EUA receber uma notificação do FBI, enquanto aqueles localizados em França são mostrados com um aviso da Gendarmerie Nationale.

Reveton também teve variantes de empregar um método de pagamento diferente em comparação com os ataques de ransomware iniciais. Uma vez que um sistema está infectado com variantes Reveton, os usuários são solicitados a pagar através UKashPaySafeCard, ou MoneyPak. Esses métodos de pagamento perpetuam o anonimato, já que ambos UKash PaySafeCard  são métodos internacionais de pagamento em dinheiro para quem deseja comprar, pagar e jogar na Internet.

Em 2012, diferentes tipos de Reveton variantes exibindo novas técnicas. Durante a última parte do mesmo ano, foi informado sobre as variantes que desempenham uma gravação de áudio usando o idioma nativo da vítima e outro usando um certificado digital falso.

A evolução para CryptoLocker

No final de 2013, um novo tipo de ransomware surgiu. Nesse as variantes de ransomware agora criptografa os arquivos, além de bloquear o sistema. Isso é para garantir que os usuários ainda pagará até mesmo se o próprio malware foi eliminado. Este novo tipo de ransomware foi apelidado como "CryptoLocker" devido seu novo comportamento. Como os tipos anteriores de ransomware, este também exige o pagamento pelos usuários afetados pelo malware, só que dessa vez para desbloquear seus arquivos agora criptografados. Embora a nota de resgate em CryptoLocker especifica somente "RSA-2048", como a criptografia usada, nossa análise mostra que o malware utiliza AES + RSA criptografado.

ransomware-cryptolocker-1

ransomware-cryptolocker-2

RSA é criptografia de chave assimétrica, o que significa que ele usa duas chaves. Uma chave é usada para criptografar os dados e outra é usada para descriptografar os dados. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente, permitindo garantir tanto a confidencialidade quanto a autenticidade das informações por eles protegidas.

AES utiliza chaves simétrica, ou seja, a mesma chave é usada para criptografar e descriptografar informações.

O malware usa uma chave AES para criptografar arquivos. A chave AES para a descodificação está escrito nos arquivos criptografados pelo malware. No entanto, esta chave é criptografada com uma chave RSA pública embutida no malware, o que significa que uma chave privada é necessária para decifrá-la. Infelizmente, a referida chave privada não está disponível.

Outras investigações revelaram que uma campanha de spam estava por trás das infecções CryptoLocker. As mensagens de spam contêm anexos maliciosos pertencentes a TROJ_UPATRE, uma família de malware caracterizado pela seu pequeno tamanho do arquivo e uma função de descarga simples. Ele baixa uma variante ZBOT/ZeuS, que então transfere o malware CryptoLocker. Foram buscadas informações ligando CryptoLocker ao e-mail contendo uma amostra malicioso anexada, identificado como TROJ_UPATRE.VNA.

TROJ_UPATRE.VNA

Uma vez que este anexo é executado, ele baixa um outro arquivo que é salvo como  cjkienn.exe (detectado como   TSPY_ZBOT.VNA). Este malware em seguida, transfere o malware CryptoLocker real (detectado como TROJ_CRILOCK.NS).

TROJ_CRILOCK.NS

Esta ameaça é particularmente problemático por várias razões. Em primeiro lugar, as variantes ZeuS/Zbot são conhecidos para roubar informações relacionadas a credenciais bancárias online. Os atacantes podem usar as informações roubadas para iniciar operações bancárias não autorizadas. Além disso, por causa do malware CryptoLocker, os usuários não serão capazes de acessar seus documentos pessoais ou importantes.

Perto do final de 2013, uma nova variante do CryptoLocker surge, nela surgiram rotina de propagação. Esta variante, WORM_CRILOCK.A. pode se espalhar através de unidades removíveis, uma inédita rotina em outras variantes. Isto significa que o software malicioso pode facilmente espalhado em comparação com outras variantes. Esta nova variante não depende de malwares downloader como CRILOCK para infectar sistemas, ao contrário, ela finge ser um ativador de software em redes ponto a ponto de compartilhamento de arquivos (sites de P2P). As diferenças técnicas levaram alguns pesquisadores a acreditar que este malware é um produto de um imitador.

Outra ransomware criptografado logo entrou em cena. Este malware, conhecido como CryptoDefense ou CryptOrbit, como outros ransomware criptografados, exige o pagamento por seus serviços de descriptografia. Denominado como TROJ_CRYPTRBIT.H,, esta variante criptografa banco de dados, vídeos, imagens, scripts, textos, planilhas e outros arquivos, ele também elimina arquivos de backup para impedir a restauração.

A incursão criptomoeda Theft

Ransomware logo começou a incorporar mais um elemento: criptomoeda (por exemplo, Bitcoin). Esse chegou em duas novas variantes, o chamado BitCrypt,. A primeira variante, TROJ_CRIBIT.A, acrescenta ".bitcrypt" para quaisquer arquivos criptografados e usa uma nota de resgate. A segunda variante, TROJ_CRIBIT.B. acrescenta ".bitcrypt2" e usa uma nota de resgate multilinguagem, com 10 línguas incluídas. Variantes CRIBIT usar algoritmos de criptografia RSA(426)-AES e RSA(1024)-AES para criptografar os arquivos. Este malware também exige que o pagamento para desbloquear arquivos venha na forma de Bitcoins.

Foi descoberto que uma variante de malwares informações FAREITTSPY_FAREIT.BB, downloads de TROJ_CRIBIT.B. Esta variante FAREIT pode roubar informações de várias carteiras criptomoeda, incluindo wallet.dat (Bitcoin), electrum.dat (Electrum), e .wallet (Multibit). Esses arquivos contém informações importantes, tais como registros de transações, preferências de usuário e contas.

POSHCODER: PowerShell Abuso

Uma nova variante do ransomware e Cryptolocker ameaças aproveitar o recurso Windows PowerShell para criptografar arquivos. Foi identificado ele como TROJ_POSHCODER.A. Windows PowerShell é um recurso embutido no Windows 7 e superior ou Windows Server. Os criminosos digitais frequentemente abusam desse recurso para fazer ameaças não detectadas no sistema ou na rede.

POSHCODER usa AES em criptografia dos arquivos e RSA chave pública de 4096 para criptografar a chave AES. Uma vez que todos os arquivos do sistema infectado são criptografadas, ele exibe a seguinte imagem:

ransomware-cryptolocker-3

Ransomware maior praga virtual da atualidade infecta arquivos críticos

Enquanto cripto-ransomware pode ter se tornado popular entre os criminosos digitais, isso não significa que outros tipos de ransomware desapareceram da paisagem. Recentemente, foi encontrado um ransomware polícia que bloqueia a tela do computador infectado.

ransomware-cryptolocker-4

O que torna este ransomware especial diferente de outros ransomware policial é que o seu vetor de infecção é remendado malware. Malwares remendado é qualquer arquivo legítimo que tenha sido modificada (via adição ou injeção) com código malicioso. Modificando um arquivo legítimo pode ser vantajoso para os criminosos digitais como a taxa de execução de código malicioso vai depender da freqüência de uso do arquivo infectado. 

Outra distinção para este ransomware é que ele infecta user32.dll, um arquivo crítico conhecido. Infectando um arquivo crítico pode ser considerada uma técnica de evasão, pois ele pode ajudar a evitar a detecção por ferramentas de monitoramento de comportamento. Além disso, limpeza de arquivos críticos, tais como user32.dll requer cuidado extra como um passo em falso pode deixar de funcionar um sistema, o que poderia ser visto como um possível obstáculo para ferramentas de limpeza.

O infectado user32.dll começará uma cadeia de rotinas que termina com o ransomware sendo carregado. Incluído nas rotinas do ransomware irá bloquear a tela do computador e projetar com uma imagem de resgate, semelhante às mensagens de ransomware policial anteriores.

Futuro do ransomware

Em 2013, as novas previsões de Segurança, foi previto que as ameaças convencionais como ransomware são susceptíveis a evoluir gradualmente, como os criminosos vão se concentrar principalmente em refinar as ferramentas existentes. Isto é, em parte, impulsionada pela corrida armamentista em curso entre certos grupos de criminosos virtuais e pesquisadores de segurança da informação. Por causa dos desenvolvimentos positivos na captura destes grupos, como a prisão de certos grupos FakeAV e ransomware, podemos esperar variantes de ransomware para conter novas funções e outras melhorias em termos de mecanismo de descrição. Critroni ou Curve-Tor-Bitcoin (CTB) Locker surgiu em 2014, este tipo de ransomware utiliza a rede Tor para mascarar suas comunicações C & C. Algumas variantes deste ransomware pede bitcoins como resgate. CTB Locker variantes em 2015 introduziu "freemium", serviço de decodificação livre. Também em 2015, os ataques de ransomware TorrentLocker foram predominantes na região da Austrália e Nova Zelândia. Este ransomware especial adiciona código CAPTCHA e redireciona para um site falso.

Assista ao vídeo "TorrentLocker em Ação" no vídeo abaixo:

Abaixo segue algumas das famílias conhecidas de ransomware

Nome de família Aliases Descrição
ACCDFISA Anti Crime Cibernético Departamento de Agência Federal Internet Security Ransom Viu pela primeira vez no início de 2012; Criptografa arquivos em um protegido por senha; Os cibercriminosos por trás deste ransomware pede pagamento através MoneyPak, Paysafe, ouUkash para restaurar os arquivos e desbloquear a tela;Conhecido como um malware multi-componente empacotado como um (SFX) arquivo de extração; Pode vir empacotados com aplicativos de terceiros, tais como SDelete e WinRAR
ANDROIDOS_LOCKER   Primeiro ransomware móvel manchado; Usa Tor, um serviço legítimo que permite conexões de servidores anônimos; Os usuários com dispositivos móveis afectadas por este malware pode encontrar os arquivos armazenados em seus dispositivos móveis inutilizados e detidos para resgate
CRIBIT BitCrypt Semelhante a CRILOCK com o uso de criptografia RSA-AES para arquivos de destino; Versão 1 usa RSA-426; Versão 2 RSA utiliza-1024; Acrescenta a string bitcryp1 (para a versão 1) e bitcrypt2 (para a versão 2) para o nome da extensão dos arquivos que criptografa
CRILOCK CryptoLocker Emprega Domain Generation Algorithm (DGA) para a sua conexão com o servidor C & C; Outubro 2013 – UPATRE foi encontrado para ser a parte do spam que baixa ZBOT, o que mais transferências CRILOCK
CRITOLOCK Armário criptográfico Usa o padrão de criptografia avançada (AES-128) cryptosystem; A palavra Cryptolocker está escrito no papel de parede que ele usa para mudar papel de parede de um computador afetado
CRYPAURA   Criptografa arquivos e acrescenta o contato endereço de email correspondente para o arquivo de descriptografia
CRYPCTB Critroni, CTB Locker, Curva-Tor-Bitcoin Locker Criptografa arquivos de dados; Garante não há recuperação de arquivos criptografados por excluir suas cópias de sombra;Chega via email de spam que contém um anexo, na verdade, um downloader deste ransomware; Usa a engenharia social para atrair os usuários para abrir o anexo; Tor usa para mascarar suas comunicações C & C
CRYPDEF CryptoDefense Para descriptografar arquivos, ele pede aos usuários para pagar o dinheiro do resgate em moeda bitcoin
CRYPTCOIN CoinVault Criptografa arquivos e exige que os usuários pagam em bitcoin para descriptografar os arquivos; Oferece um teste gratuito de uma só vez para descriptografar um arquivo
CRYPTFILE   Usa a chave pública exclusivo gerado RSA-2048 para criptografia de arquivo e também pede aos usuários para pagar um bitcoin para obter a chave privada para descriptografar os arquivos
CRYPWALL CryptoWall, CryptWall, CryptoWall 3.0 Relatado para ser a versão atualizada do CRYPTODEFENSE;Usa moeda bitocin como modo de pagamento; Usa a rede Tor para fins de anonimato; Chega via correio spam, seguindo cadeia de infecção UPATRE-ZBOT-RANSOM; CryptoWall 3.0 vem com FAREIT spyware
CRYPTROLF   Imagem cara do troll após a criptografia de arquivos mostra
CRYPTTOR   Altera o papel de parede para o retrato de paredes e pede aos usuários para pagar o resgate
Cryptor arquivo de lote ransomware Chega através DOWNCRYPT; A ransomware arquivo de lote capaz de criptografar os arquivos do usuário usando o aplicativo GNU Privacy Guard
DOWNCRYPT arquivo de lote ransomware Chega via e-mail spam; Downloads BAT_CRYPTOR e seus componentes, como um documento chamariz
VIRLOCK VirLock, VirRansom Infecta arquivos de documentos, arquivos, e arquivos de mídia, como imagens
Gpcode   Descoberto em 2005; primeiro ransomware visto
KOLLAH   Um dos primeiros ransomware que criptografa arquivos usando certos nomes de extensão; Arquivos alvo incluem documentos do Microsoft Office, arquivos PDF e outros arquivos considerados informação-rico e relevante para a maioria dos usuários; Adiciona a seqüência GLAMOUR para ele criptografa arquivos
KOVTER   Payload do ataque relacionado com anúncios do YouTube que levam à Laranja Doce explorar kit
MATSNU   Backdoor que tem recursos de tela de bloqueio; Pede resgate
RESGATE   Detecção genérica para aplicações que restringem os usuários de acessar totalmente o sistema ou criptografa arquivos e algumas exige um resgate, a fim de decifrar ou desbloquear a máquina infectada
REVETON Polícia Ransom Locks tela usando uma exibição falsa que avisa o usuário de que eles violaram a lei federal; Mensagem declara ainda o endereço IP do usuário foi identificado pelo Federal Bureau of Investigation (FBI), como sites que visitam que apresentam conteúdo ilegal
VBUZKY   64-bit ransomware; As tentativas de usar Shell_TrayWndinjeção; Permite opção TESTSIGNING do Windows 7
CRYPTOP Ransomware arquivador Downloads GULCRYPT e seus componentes
GULCRYPT Ransomware arquivador Arquivos arquivos com extensões específicas; Deixa um arquivo de texto contendo as instruções de resgate sobre quem contactar e como descompactar os arquivos que contêm arquivos do usuário
CRYPWEB PHP ransomware Criptografa os bancos de dados no servidor web que fazem o site indisponível; Usa HTTPS para se comunicar com o servidor C & C; Descriptografar chave só está disponível no servidor C & C
CRYPDIRT Sujo Decrypt Visto pela primeira vez em 2013, antes do surgimento do Cryptolocker
CRYPTORBIT   Detecção de imagens, texto e arquivos HTML que contêm notas de resgate que são indicadores de comprometimento (COI)
CRYPTLOCK TorrentLocker Poses como CryptoLocker; variantes mais recentes exibircrypt0l0cker no computador afetado; usa uma lista de extensões de arquivos que ele evita criptografia, em comparação com ransomware usual que usa uma lista de extensões de arquivo para criptografar – isto permite CRYPTLOCK para criptografar mais arquivos enquanto se certificar de que o computador afetado ainda corre, assegurando que os usuários sabem que os seus arquivos são criptografados e acesso à Internet para pagar o resgate ainda está presente
CRYPFORT CryptoFortress Imita TorrentLocker / interface de usuário CRYPTLOCK; Utiliza curingas para procurar extensões de arquivo; criptografa arquivos em pastas compartilhadas
CRYPTESLA TeslaCrypt Interface de usuário é semelhante ao CryptoLocker;criptografa arquivos relacionados com jogos
CRYPVAULT VaultCrypt Usa ferramenta de criptografia GnuPG; Transferências de hacking ferramenta para roubar credenciais armazenadas em navegadores web; SDelete usa 16 vezes para prevenir / dificultam a recuperação de arquivos; tem um portal de apoio ao cliente; é um script em lotes cripto-ransomware
CRYPSHED Troldesh Visto pela primeira vez na Rússia; Tradução Inglês adicionado à sua nota de resgate para atingir outros países; além de acrescentar .xtbl ao nome dos arquivos criptografados arquivo, ele também codifica o nome do arquivo, fazendo com que os usuários afetados a perder o controle do que arquivos são perdidos
SYNOLOCK SynoLocker Sistema operacional 'dispositivos Exploits Synology NAS (DSM 4,3-3810 ou anterior) para criptografar arquivos armazenados no dispositivo que; tem um portal de apoio ao cliente
KRYPTOVOR Kriptovor Parte de uma infecção multi-componente; além da sua componente cripto-ransomware, ele tem uma roubar informações componente que rouba determinados arquivos, lista de processos, e captura de tela do desktop; usa uma biblioteca de Delphi de código aberto chamado LockBox 3 para criptografar arquivos

Nos últimos anos, temos visto o ransomware evoluir de uma ameaça direcionada aos usuários russos a um ataque que afeta vários países europeus, das américas e Ásia. Com um modelo de negócio rentável e esquemas de pagamento que ofereçam anonimato por seus autores, podemos ver mais de ransomware nos próximos anos. Assim, é fundamental que os usuários saibam como funciona o ransomware e a melhor forma de proteção contra esta ameaça.

O que os usuários podem fazer?

Como se previnir do Ransomware maior praga virtual da atualidade

Como acontece com outros ataques, você pode trabalhar para evitar o ransomware. Especialistas aconselham tomar essas medidas para evitar ataques ou proteger-se depois de um ataque:

  1. Usar um software antivírus e um firewall respeitável: A manutenção de um firewall forte e manter seu software de segurança atualizado é crítico. É importante o uso de software antivírus de uma empresa respeitável, por causa de todo o software falso lá fora.
  2. Realizar backups: Se você realiza backup de arquivos para qualquer um disco rígido externo ou algum serviço de backup online, você diminuir a ameaça. Se você faz backup de suas informações, você não deve ter medo de simplesmente desligar o computador e começar de novo com uma nova instalação se você estiver sob ataque. Fazer os backups também são uma parte essencial de um plano de continuidade de negócios e recuperação de desastres, que todas as pessoas e empresas deveriam ter. No mínimo, recomendo aos usuários, pelo menos, fazer cópias de segurança dos arquivos que são importantes para eles e fazê-lo regularmente, de preferência em mais de um local, mantendo ao menos duas cópias de segurança. Quantas vezes os backups devem ser realizados e quais soluções de armazenamento, são todas as coisas que precisam ser considerados, dependendo do seu próprio perfil de risco. Fica apenas o alerta, fazer backups é primordial, porém realizar testes de verificação da integridade desses arquivos e restauração constante dos mesmo é fundamental, assim quando for necessário recupera-los, sabe-se que estarão disponíveis e integros.
  3. Ative seu bloqueador de pop-up: Pop-ups são uma tática principal usado pelos bandidos, tão simplesmente evitar até mesmo acidentalmente clicar em um pop-up. Se um pop-up aparecer, feche o quanto antes. Os botões dentro de um pop-up pode ter sido reprogramado pelos criminosos, por isso não clicar sobre eles.
  4. Tenha cuidado: Não clique em links dentro de e-mails, e evite sites suspeitos. Mas esteja ciente de que os bandidos são desonestos o suficiente para criar sites falsos, talvez divulgando seu próprio software antivírus falso ou seu programa de criptografia.
  5. Desconectar-se da Internet: Se você receber uma nota de ransomware, se desconectar da Internet para que seus dados pessoais não sejam transmitidos de volta para os criminosos. Ele recomenda simplesmente desligar o computador. Se você fez o backup de seus dados, você pode reinstalar o software. Se você não se sentir confortável fazendo isso ou você é incapaz de começar de novo, você terá que levar o computador para uma loja de confiança para repará-lo.
  6. Alerta autoridades: Ransomware é uma forma grave de extorsão. As polícias locais, dependendo de onde você esteja, provavelmente, não estão equipados para lidar com isso, porém a Polícia Federal com certeza tem conhecimento, material humano e equipamentos para investigar esses casos.

Não fique tentado a desistir e pagar o resgate. Pagae ele seria um erro, porque eles vão extorquir ainda mais de você e muito provavelmente vão divulgar as suas informações. Tomar precauções para proteger suas informações e manter a vigilância são as melhores soluções para evitar tornar-se uma vítima em primeiro lugar.

A Trend Micro Smart Protection Network oferece proteção para os usuários, bloqueando esta ameaça de possíveis pontos de infecção. Especificamente, ele impede o acesso a sites mal intencionados que hospedam variantes de ransomware, e bloqueia endereços IP e servidores C & C que ransomware variantes tem acesso. Ele também bloqueia spam e mensagens de e-mail verificados para transportar ransomware disfarçado como arquivos anexados. Mais importante, ele detecta e elimina variantes ransomware se encontrado no sistema.

Para combater ransomware em sua casa e escritório, tente os seguintes produtos da Trend Micro que usa o poder da Smart Protection Network:

 

Ransomware também afeta redes de escritórios e estações de trabalho. Os seguintes produtos da Trend Micro garantir a segurança e protecção das suas redes corporativas e desktops contra ataques de ransomware:

 

Além disso, Deep Discovery protege a sua rede corporativa desde o monitoramento de portas de comunicação, análise de malware e monitoramento de tráfego de rede. Estes evita a propagação de ransomware para outros computadores na rede corporativa e contém a ameaça que deve ser detectado em qualquer nível. 

Outras ferramentas de detecção e remoção de ransomware conhecidos como CryptoLocker estão disponíveis para seu uso:

 

Se você estiver infectado com ransomware, em seguida, considere o seguinte conselho:

  • Não pagar o resgate, porque mesmo após o pagamento o ransomware pode não desbloquear o computador.
  • A maioria ransomware pode ser removido de forma limpa a partir de computadores afetados usando ferramentas gratuitas como o Norton Power Eraser ou SymHelp.

Últimas notícias do Ransomware

Abaixo estão as últimas ransomware detectados que Trend Micro analisou:

A Trend Micro Detecção Características notáveis Mês-Ano descoberto
BAT_CRYPVAULT.A

Criptografa e "quarentenas" arquivos

Exclui arquivos de backup, tornando difícil recuperação

04 2015
TROJ_CRYPWAL.YOI

Chega junto com um spyware FAREIT

03 2015
TROJ_CRYPCTB.NSA

Usa ícone .PDF, disfarçando-se como um arquivo legítimo

Chega como um email sobre a suspensão da conta Facebook

02 2015
TROJ_CRYPCTB.SME

Chega através de spam

Tem característica 'freemium'

01 2015
TROJ_CRYPTED.SM

TorrentLocker variante encontrada na Austrália e Nova Zelândia

Chega via falso Austrália / NSW Mensagem de e-mail

Usuários redirecionadas para sites falsos onde é necessário código CAPTCHA

01 2015
TROJ_CRYPAURA.A

Acrescenta o texto 'ebola "em nome de extensão de arquivos criptografados

11 2014
TROJ_CRYPTFILE.SM

Novo tipo de ransomware conhecido como malware Cryptoblocker

Em vez de um arquivo de texto como nota de resgate, ele exibe uma mensagem

07 2014
ANDROIDOS_LOCKER.HBT

Ransomware que roda em Android

TOR usa para esconder sua comunicação C & C

06 2014
ANDROIDOS_LOCKER.A

Ransomware que roda em Android

06 2014
TROJ_RANSOM.NTW

Transferido por exploits aproveitando CVE-2013-0422

Transferido por whitehole Exploit kits

02 2013
TROJ_REVETON.RG

Transferido por Cool Exploit kits

Reune do sistema infectado endereço IP, localização e ISP – todos os detalhes aparecem na imagem resgate

01 2013
TROJ_REVETON.RJ

Transferido por Cool Exploit kits

Exibe Unidade de e-crime da polícia Central (PCeU) alerta, pedindo ao usuário a pagar 100 GBP

01 2013
TROJ_REVETON.IT Mostra um "tratado" entre as empresas anti-malware 12, 2012
TROJ_REVETON.HM "Fala" – verbal lido fora do alerta. A linguagem é ajustada com base na configuração de país do computador infectado. 11, 2012
 

 

HG Wells disse uma vez: "Adaptar-se ou pereça, agora como sempre, é imperativo inexorável da natureza." Embora Wells estava falando sobre o futuro da espécie humana, quando ele disse isso, a citação também pode ser aplicado a malware. Há uma batalha constante e em grande parte invisível travada entre os autores de malware e fornecedores de segurança. Atacantes querem comprometer seu computador, enquanto os profissionais de segurança quer parar os autores do malware de conseguir o que querem. Se os autores do malware acabam de criar um malware e lançou-o para a vida selvagem sem continuamente adaptando-o, em seguida, os fornecedores de segurança irão localiza-lo, analisa-lo e tornar o malware inúteis a todos. Os atacantes sabem disso e entendem que eles devem "adaptar-se ou perecer."

Mesmo depois de ler esse artigo, você ainda acredita que somente computadores podem contrair o Ransomware maior praga virtual da atualidade, saiba também que a Symantec, outra gigante da tecnologia, focada em segurança da informação também já detectou a anos atrás a infecção de dispositivos Android.

Ransomware maior praga virtual da atualidade em seu pulso

Os dispositivos móveis se tornaram um alvo preferencial para ransomware e os atacantes usam vários truques e táticas para tentar e permanecer sem ser detectada pelas ferramentas de análise estática e sistemas de assinatura estática utilizados por fornecedores de segurança.

Ransomware Android já percorreu um longo caminho desde que surgiu pela primeira vez em 2013 com a descoberta do malware de bloqueio de dispositivo, o Android.Fakedefender. Menos de um ano mais tarde, o primeiro ransomware Android-Encrypting File apareceu, o Android.Simplocker, deixando claro que ransomware móvel fica cada vez mais avançado. Essa tendência continuou até hoje, como os autores de malware percebem o grande número de vítimas em potencial lá fora, podemos ter certeza essa ameaça continuará a evoluir.

As famílias de malware Android.Lockdroid e Android.Simplocker pode ser usado para demonstrar como autores ransomware aplicam continuamente métodos diferentes para se certificar que suas criações evoluiram.

Anteriormente, observamos que as tendências tecnológicas estão começando agora a apresentar novas oportunidades para criminosos virtuais para aumentar o alcance de ransomware. Basta ver a proliferação crescente da tecnologia em nossas casas, para o entretenimento, HVAC, segurança e muito mais. Nosso transporte também foi afetada, pois existem carros inteligentes que são vulneráveis ​​a hackers.

Uma tendência que chamou recentemente a atenção do público é a da smartwatch. Embora o Google primeiro introduziu o Android OS Wear smartwatch ao público no início de 2014, a recente chegada da Apple Watch tem dado a este setor um impulso significativo. Isso está criando um novo mercado para aplicativos SmartWatch que os desenvolvedores já começaram a atender.

Dispositivos Android são projetados para ser emparelhado com um dispositivo mais ricos em função, como um telefone ou tablet Android. O sistema operacional permite que os apps Android existente para usar determinados recursos do dispositivo Android Wear com nenhum trabalho extra. Mas se os desenvolvedores querem realmente tirar partido das funcionalidades nos dispositivos portáteis menores, eles podem escrever aplicativos especificamente para ele.

O processo de instalação de um aplicativo Android Wear é projetado para ser uma experiência perfeita. Se um aplicativo móvel Android instalado tem um componente Android Wear, o aplicativo irá automaticamente ser empurrado a partir do dispositivo móvel para o desgaste smartwatch Android.

Tendo em conta que já existem ameaças de ransomware em circulação para dispositivos móveis Android, decidimos testar como um dispositivo Android Wear pode ser afetado por ransomware típico Android. A Symantec decidiu fazer teste em dispositivos móveis, onde simplesmente tiveram que remontar um arquivo atual Android ransomware .apk (Android.Simplocker) dentro de um novo projeto Android Wear para criar um novo arquivo .apk.

Em seguida, fizeram uma smartwatch Moto 360 e emparelhado com um telefone Android. Quando instalamos o novo arquivo .apk no telefone, descobrimos que o telefone tornou-se infectado com o ransomware como esperado. Como o smartwatch foi emparelhado com o telefone, o ransomware também foi empurrado para o SmartWatch. Uma vez instalado no smartwatch, o malware poderia ser executado pelo usuário, se eles foram aliciadas para executá-lo, pensando que era um aplicativo útil.

Após o ransomware foi executado, ele afetou o smartwatch para tornar-se geralmente inutilizável. Simplocker tem uma rotina que verifica a exibição da mensagem resgatadas a cada segundo, e se não for mostrado, ele vai empurrá-lo para a tela novamente. Esta atividade nos impediu de usar o dispositivo. Simplocker também criptografada uma gama de diferentes arquivos armazenados no cartão SD do smartwatch.

Até agora, não vimos qualquer ransomware em estado selvagem especificamente projetado para atacar smartwatches, mas esta situação poderia facilmente mudar. Este cenário poderia dar origem ao termo "ransomware ransomwear".

Recuperação e mitigação

Uma vez que o Simplocker está em execução no smartwatch, só é possível desinstalá-lo a partir do telefone emparelhado. Se você puder fazer isso, então o Simplocker será automaticamente removido do smartwatch. Se isso não for possível, você pode redefinir o telefone para as configurações de fábrica, em seguida, fazer o mesmo no smartwatch. A opção de reset de fábrica só está acessível através do menu relógio, mas isso não é acessível enquanto Simplocker está em execução.

Durante os testes, foi descoberto que mantendo pressionado o botão de hardware no relógio por 30 segundos, o aparelho será desligado. Quando o dispositivo é reiniciado, há uma janela de tempo de cerca de 20 a 30 segundos antes Simplocker reinicia novamente. Este é apenas o tempo suficiente para iniciar o processo de redefinição de fábrica que irá limpar o smartwatch limpo. A desvantagem é que todos os arquivos do relógio será perdido, embora esses arquivos tenham sido criptografados pela ameaça antes disso.

Para reduzir o risco de infecções de malware em dispositivos portáteis, os usuários devem tomar algumas precauções básicas:

  • Evite instalar aplicativos de fontes desconhecidas / não confiáveis;
  • Verifique as permissões ao instalar aplicativos para se certificar de que eles são apropriados para o tipo de aplicativo que está sendo instalado. Por exemplo, se um jogo realmente precisa para ser capaz de acessar sua lista de contatos ou enviar um SMS?
  • Use uma solução de segurança adequado em seu dispositivo móvel;
  • Mantenha o seu software atualizado;
  • Faça backups frequentes dos dados importantes.

Caso deseja conhecer melhor o trabalho realizado pela Symantec sobre o Ransomware, veja uma apostila sobre A Evolução do Ransomware.

O programas Fantástico da Rede Globo do dia 25 de outubro de 2015 apresentou um reportagem sobre esse assunto.

Se você gostou desse artigo, deixe seu comentário abaixo, assim poderemos interagir e saber sua opinião. Você também pode compartilhar esse artigo, além de seguir nossas páginas nas redes sociais para acompanhar os novos artigos.

 

  • leonardo carneiro

    Felipe também estou fazendo meu TCC sobre Ransomware podemos trocar informações e assim nos ajudarmos nesta empreitada.
    meu email é lccarneiro142@gmail.com

  • Felipe Coppini

    Show!! Parabéns!!
    Estou fazendo meu tcc sobre politicas para evitar ataques do tipo ransomware..
    Podemos conversar mais via e-mail?

TOP
%d blogueiros gostam disto: