26966 0

Check Point descobre duas novas famílias de ransomware

O ransomware é um dos métodos de ataque mais comuns e eficazes nos dias de hoje e tudo indica que esta tendência não mudará no curto prazo. Em novembro passado, a Check Point revelou que o número de sequestros de dados online cresceu exponencialmente, sendo que o seu Índice de Ameaças Global indicava que o número de ataques com recurso aos malwares Locky e Cryptowall tinha aumentado 10%.

Agora, a equipa de investigadores de ameaças da Check Point revela a descoberta de duas novas famílias, disponibilizando de imediato as correspondentes soluções de desencriptação, que podem ajudar as vítimas a recuperar de forma gratuita os seus dados perdidos. A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencriptação de forma pública.

DeriaLock: Ransomware que muda numa questão de horas

O DeriaLock é um peculiar malware que tem vindo a evoluir de uma forma muito rápida. Quando apareceu pela primeira vez a 24 de dezembro de 2016, a única coisa que fazia era tomar o controlo do ecrã da vítima e impedi-la de aceder ao seu computador. Era um sério incómodo, mas não causava danos reais. Dois dias depois, foi descoberta outra variante. Desta vez incluía um mecanismo de encriptação de ficheiros, e ameaçava os utilizadores com a sua eliminação total se tentassem reiniciar os seus equipamentos.

Karsten Hahn, o analista de malware que descobriu pela primeira vez o DeriaLock, afirmou no Twitter que esta era uma “ameaça vazia”. E assim foi, pelo menos durante umas horas, até que a última variante do ransomware apareceu. A versão atual inclui todas estas funções: bloqueio de ecrã, encriptação de ficheiros e eliminação de ficheiros depois de se reiniciar o computador.

Neste momento, o pedido de regate é de apenas 30 dólares, um preço relativamente abaixo das outras famílias ativas. Os investigadores da Check Point encontraram uma forma de explorar vários defeitos na sua programação, o que lhes permitiu criar ferramentas de desencriptação que ajudam as vítimas a recuperar sus ficheiros e a evitar o pagamento do regate.

PHP Ransomware

A equipa de investigadores da Check Point também descobriu um novo ransomware na forma de um script PHP. A primeira vez que o encontraram foi ao aceder ao domínio hxxp://med-lex[.]com. Embora esta ameaça encripte os ficheiros da vítima, não é exatamente um “ransomware”.

Ao contrário da maioria dos malwares de sequestro de dados mais populares, este script não apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os ficheiros. Só os encripta sem oferecer nenhuma opção de recuperação. Também não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.

O PHP Ransomware começa por analisar o sistema repetidamente. Quando encontra um diretório, verifica as suas subpastas e procura os ficheiros relevantes, para averiguar se contêm alguma destas extensões:

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso

Se um dos ficheiros coincidir com as extensões anteriores, o script muda as permissões de acesso e permite ao proprietário e a outros utilizadores ler, escrever e executar o ficheiro. Depois lê os primeiros 2048 bytes do ficheiro e encripta-os. Se o tamanho do ficheiro for menos de 2 MB, este é completamente encriptado. Além disso, uma extensão “.crypted” é adicionada ao nome do ficheiro sem omitir o original.

A Check Point disponibiliza no seu blogue os links para descarregar ambos os desencriptadores, assim como as instruções de uso de cada um deles. Além disso, recomenda a utilização das ferramentas com precaução, já que só são eficazes contra as versões atuais do Derialock e do PHP ransomware.

Os fabricantes de soluções de segurança e os hackers permanecem num eterno jogo do gato e do rato, pelo que existe a possibilidade de os ciberatacantes lançarem novas versões do malware, tornando impossível a recuperação dos ficheiros. Portanto, a empresa não se responsabiliza pelas tentativas falhadas de desencriptação dos ficheiros utilizando estas ferramentas.

Antes de iniciar o processo de desencriptação, a Check Point recomenda que se faça uma cópia de segurança ao disco rígido. O utilizador também tem que estar familiarizado com o procedimento específico de como iniciar o computador em modo de segurança, já que, se o equipamento não for reiniciado assim, todos os seus dados serão eliminados.


Patricia Fonseca

Patricia Fonseca

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Notícias Relacionadas

7.ª edição do Concurso Acredita Portugal com mais de 500 mil euros em prémios

Estão abertas as candidaturas à 7.ª edição do concurso de empreendedorismo da Acredita Portugal, o maior a nível nacional e o segundo a nível mundial. As candidaturas podem

CDI Portugal é o novo projeto de inclusão social apoiado pela Microsoft

A Microsoft Portugal apresentou hoje, em primeira mão e no arranque da sua iniciativa anual “Encontro de Parceiros Sociais”, um novo projeto estruturante de Responsabilidade Social por si

Indra implementa sistema de gestão de tráfego marítimo do Porto de Southampton

A Associated British Ports  encomendou à Indra um sistema avançado de monitorização e gestão de tráfego marítimo para o porto de Southampton, um dos principais do Reino Unido

Evento Fujitsu IT Future 2013 chega a Lisboa no dia 23 de Maio

A Fujitsu anunciou a chegada a Portugal do seu roadshow Fujitsu IT Future, que no ano passado atraiu mais de 5.000 visitantes empresariais. Este ano, o evento percorre

Dê a sua opinião:

O seu endereço de email não será publicado. Campos obrigatórios marcados com *