Check Point descobre duas novas famílias de ransomware

17160
0
Share:

O ransomware é um dos métodos de ataque mais comuns e eficazes nos dias de hoje e tudo indica que esta tendência não mudará no curto prazo. Em novembro passado, a Check Point revelou que o número de sequestros de dados online cresceu exponencialmente, sendo que o seu Índice de Ameaças Global indicava que o número de ataques com recurso aos malwares Locky e Cryptowall tinha aumentado 10%.

Agora, a equipa de investigadores de ameaças da Check Point revela a descoberta de duas novas famílias, disponibilizando de imediato as correspondentes soluções de desencriptação, que podem ajudar as vítimas a recuperar de forma gratuita os seus dados perdidos. A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencriptação de forma pública.

DeriaLock: Ransomware que muda numa questão de horas

O DeriaLock é um peculiar malware que tem vindo a evoluir de uma forma muito rápida. Quando apareceu pela primeira vez a 24 de dezembro de 2016, a única coisa que fazia era tomar o controlo do ecrã da vítima e impedi-la de aceder ao seu computador. Era um sério incómodo, mas não causava danos reais. Dois dias depois, foi descoberta outra variante. Desta vez incluía um mecanismo de encriptação de ficheiros, e ameaçava os utilizadores com a sua eliminação total se tentassem reiniciar os seus equipamentos.

Karsten Hahn, o analista de malware que descobriu pela primeira vez o DeriaLock, afirmou no Twitter que esta era uma “ameaça vazia”. E assim foi, pelo menos durante umas horas, até que a última variante do ransomware apareceu. A versão atual inclui todas estas funções: bloqueio de ecrã, encriptação de ficheiros e eliminação de ficheiros depois de se reiniciar o computador.

Neste momento, o pedido de regate é de apenas 30 dólares, um preço relativamente abaixo das outras famílias ativas. Os investigadores da Check Point encontraram uma forma de explorar vários defeitos na sua programação, o que lhes permitiu criar ferramentas de desencriptação que ajudam as vítimas a recuperar sus ficheiros e a evitar o pagamento do regate.

PHP Ransomware

A equipa de investigadores da Check Point também descobriu um novo ransomware na forma de um script PHP. A primeira vez que o encontraram foi ao aceder ao domínio hxxp://med-lex[.]com. Embora esta ameaça encripte os ficheiros da vítima, não é exatamente um “ransomware”.

Ao contrário da maioria dos malwares de sequestro de dados mais populares, este script não apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os ficheiros. Só os encripta sem oferecer nenhuma opção de recuperação. Também não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.

O PHP Ransomware começa por analisar o sistema repetidamente. Quando encontra um diretório, verifica as suas subpastas e procura os ficheiros relevantes, para averiguar se contêm alguma destas extensões:

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso

Se um dos ficheiros coincidir com as extensões anteriores, o script muda as permissões de acesso e permite ao proprietário e a outros utilizadores ler, escrever e executar o ficheiro. Depois lê os primeiros 2048 bytes do ficheiro e encripta-os. Se o tamanho do ficheiro for menos de 2 MB, este é completamente encriptado. Além disso, uma extensão “.crypted” é adicionada ao nome do ficheiro sem omitir o original.

A Check Point disponibiliza no seu blogue os links para descarregar ambos os desencriptadores, assim como as instruções de uso de cada um deles. Além disso, recomenda a utilização das ferramentas com precaução, já que só são eficazes contra as versões atuais do Derialock e do PHP ransomware.

Os fabricantes de soluções de segurança e os hackers permanecem num eterno jogo do gato e do rato, pelo que existe a possibilidade de os ciberatacantes lançarem novas versões do malware, tornando impossível a recuperação dos ficheiros. Portanto, a empresa não se responsabiliza pelas tentativas falhadas de desencriptação dos ficheiros utilizando estas ferramentas.

Antes de iniciar o processo de desencriptação, a Check Point recomenda que se faça uma cópia de segurança ao disco rígido. O utilizador também tem que estar familiarizado com o procedimento específico de como iniciar o computador em modo de segurança, já que, se o equipamento não for reiniciado assim, todos os seus dados serão eliminados.


Share:
Patricia Fonseca

Deixe o seu comentário