Ransomware: Sequestro de Dados

Ransomware-Featured

Uma ameaça conhecida que surgiu na Russia por volta de 2005-2006, está de volta fazendo diversas vítimas e causando muitas dores de cabeça e prejuízos.

São os Ransomwares, um tipo de código malicioso (malware) que criptografa os dados do usuário e exige o pagamento de um resgate (daí o nome ransom) para descriptografar os arquivos. O pagamento normalmente deve ser realizado em bitcoins.

 

 

 

Como eles funcionam?

Existem diversas famílias de ransomwares, mas as mais conhecidas e utilizadas são Crowti  (conhecida também como Cryptowall) e Tescrypt (mais recente e conhecida também como Teslacrypt).

Desde o início de 2015, somente a família do Crowti respondeu por mais de 30% das contaminações.

ransomware family

Fonte Microsoft

Depois da contaminação, é comum o computador ficar inacessível e surgir uma mensagem exigindo que o usuário pague um valor para restabelecer o acesso. As ações mais comuns do malware são criptografar arquivos específicos do computador e travar algumas aplicações tradicionais, como o navegador da internet.

Em certos casos, pode exibir mensagens dizendo que você fez algo ilegal e que está sendo cobrado por alguma agência governamental (como o FBI, por exemplo). Claro que todas estas alegações são falsas, pois trata-se de uma tática de intimidação para fazer com que o usuário pague o resgate.

ransomwares

Exemplos de mensagens de agências governamentais

O Crowti faz a criptografia dos arquivos usando uma chave pública, e somente podem ser descriptografados através de uma chave privada armazenada em um servidor remoto (de controle do atacante criminoso).

Esse malware tem a capacidade de criptografar arquivos com as seguintes extensões:

.asp .ass .ava .avi .bay .bmp .c .cer .cpp .crt .cs .db .der .doc
.DTD .eps .gif .h .hpp .jpg .js .key .lua .m .mp3 .mpg .msg
.obj .odt .PAS .pdb .pdf .pem .pl .png .ppt .ps .py .RAW .rm
.rtf .sql .swf .tex .txt .wb2 .wpd .xls

Ou seja, todas aquelas extensões que podem ter conteúdo importante para o usuário. Imagine seus documentos (.doc), planilhas (.xls) e fotos (.jpg) inacessíveis!

O pagamento do resgate NÃO é recomendado, uma vez que não se tem nenhuma garantia que o criminoso irá fornecer a chave para descriptografar os arquivos infectados.

O malware injeta seu código em processos como explorer.exe ou svchost.exe.

Depois ele faz cópia de si mesmo com nomes aleatórios de arquivos, e se instala em pastas como:

c:\<nome aleatório>\<nome aleatório>.exe
%APPDATA% \<nome aleatório>.exe
<start menu> \programs\startup\<nome aleatório>.exe

Exemplos de nomes aleatórios encontrados:

3d0bbc8
7716b6d

Ele também modifica chaves do Registro do Windows para executar a cada vez que o usuário liga o computador:

Na subkey: HKU\Registry\User\<SID>\Software\Microsoft\Windows\CurrentVersion\Run
Valor: “<nome aleatório>”
Conteúdo: “c:\<nome aleatório>\<nome aleatório>.exe”
Na subkey: HKU\Registry\User\<SID>\Software\Microsoft\Windows\CurrentVersion\Run
Valor: “<nome aleatório>”
Conteúdo: “c:\<nome aleatório>\<nome aleatório>.exe”
Na subkey: HKU\Registry\User\<SID>\Software\Microsoft\Windows\CurrentVersion\RunOnce
Valor: “*<nome aleatório>”
Conteúdo: “c:\<nome aleatório>\<nome aleatório>.exe”

As instruções para o pagamento do resgate ficam em arquivos como:

DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.TXT
HELP_DECRYPT.HTML
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_DECRYPT.URL

Como o computador pode ser contaminado?

Na maioria das vezes a infecção se dá quando o usuário visita sites maliciosos ou sites que tenham sido invadidos, e também por executar arquivos (contaminados) recebidos por e-mail.

Existem diversos pacotes de exploração (exploit kits) para atacar sites e depois infectar seus visitantes. Os mais conhecidos são Exploit:SWF/Axpergle (Angler), Exploit:JS/Neclu  (Nuclear), JS/Fiexp (Fiesta), e JS/Anogre (Sweet Orange).

Alguns exemplos de ransomwares:

Win32-AdslockA

Win32-Adslock.A

Win32-CribitA

Win32-Cribit.A

Win32-CrilockA

Win32-Crilock.A

Um vídeo (em inglês) explicando com os ransomwares funcionam:

http://www.symantec.com/tv/products/details.jsp?vid=1954285164001

Como remover o código malicioso do computador?

Um bom antivírus (gosto mais do termo anti-malware) que esteja atualizado e funcionando corretamente pode remover o código malicioso do computador. Lembre-se: remover o malware não significa recuperar os arquivos criptografados. Garante apenas que novos arquivos não serão infectados.

Algumas soluções gratuitas para remoção:

Norton Bootable Recovery Tool
Kaspersky Security Scan
Microsoft Safety Scanner
Windows Defender Offline

Como descriptografar os arquivos infectados?

A melhor forma de recuperar os arquivos infectados é a restauração de um backup. Portanto, garanta que o processo de backup de seus arquivos importantes esteja funcionando corretamente. Não recupere nenhum arquivo se o computador ainda estiver contaminado com o malware, caso contrário os arquivos serão criptografados novamente.

As chances de recuperar os arquivos sem um backup são muito baixas (quase “zero”), devido a complexidade do algoritmo de criptografia (normalmente AES CBC 256-bit).

Caso não tenha nenhum backup, as alternativas são:

1. Usar o recurso de “shadow copy” do Windows, caso esteja habilitado.

2. Usar uma ferramenta de recuperação de arquivos apagados, pois quando o malware criptografa um arquivo, ele apaga o original em seguida.

Algumas ferramentas gratuitas para recuperação de arquivos apagados:

Data Recovery Wizard Free
Recuva

Se nenhum desses recursos funcionar, algumas ferramentas para “tentar” descriptografar os arquivos:

Kaspersky Ransomware Decryptor
TeslaDecrypt

 

Vaine Luiz Barreira

Executivo de TI e Segurança da Informação.
Perito em Computação Forense.

LinkedIn 

Share on Facebook0Share on LinkedIn0Share on Google+0
(Visited 1.380 times, 1 visits today)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *