Novo ransomware multidispositivos

ransomwareAnalistas e pesquisadores concordam que 2016 foi o ano no qual ransomwares tornaram-se protagonistas do cibercrime. Os responsáveis pelos ataques não precisaram de muito tempo para entender o lucro potencial dos cryptolockers. Para se ter uma ideia, pesquisadores do Cisco reportaram em 2015 que um único kit exploit Angler resultou em um lucro de 60 milhões de dólares, ou 5 milhões mensalmente!

A notória dupla do mercado atual de ransomwares – Petya e o Mischa, bem como seu parente distante, o Locky, – fazem vítimas em mais de 100 países. Recentemente, os hackers passaram a ter como foco empresas e organizações detentoras de dados valiosos. Explicamos aqui no blog como diversos hospitais nos EUA foram vítimas.

A ascenção dos cryptoworms

Na tentativa de obter o maior lucro possível, o mais rápido possível, os cibercriminosos procuram formas de expandir seus ataques. Campanhas maliciosas de spam ainda funcionam, mas não são tão eficientes como antes; com as ciberameaças recebendo cobertura midiática, usuários estão se tornando mais atentos e conhecendo os truques mais usados.

Outro desenvolvimento importante foi que navegadores e antivírus aprenderam a detectar e bloquear URLs maliciosas ou spams associados aos malwares. Em resposta, hackers mudaram a abordagem. Agora, têm usado métodos antigos nas campanhas de maior abrangência e campanhas eficientes: os bons e velhos worms.

Pesquisadores previram que a próxima geração de ransomwares serão os cryptoworms – híbrido venenoso de malware e ransomware com poder de propagação automático. Esse novo tipo de malware aproveita o melhor dos dois mundos para formar uma nova espécie que pode se copiar e distribuir por meio dos computadores infectados, encriptando e exigindo o resgate ao mesmo tempo.

O primeiro malware como esse, o SamSam, se infiltrava em diversas redes corporativas de computadores bem como no armazenamento em nuvem, contendo as cópias de backup.

ZCryptor

Recentemente, noticiamos aqui no blog que a Microsoft detectou uma nova amostra de cryptoworm, nomeado ZCryptor. Sua grande diferença é que encripta os arquivos e se auto-propaga para outros computadores e dispositivos de rede, sem usar spams maliciosos e exploit kits. O malware se copia em computadores conectados e dispositivos portáteis.

Para infectar a primeira vítima, o ZCryptor utiliza técnicas comuns, se mascarando como instalador de um programa conhecido (como o Adobe Flash), ou se infiltrando no sistema por meio de macros maliciosas em um arquivo do Microsoft Office.

Uma vez no sistema, o cryptoworm infecta dispositivos externos e pendrives com intuito de se distribuir para outros computadores, e é aí que encripta os arquivos. O ZCryptor pode bloquear mais de 80 formatos de arquivo (algumas fontes dizem ser 120), adicionando a extensão .zcrypt ao nome.

Depois disso, a história volta para um cenário já conhecido: usuários visualizam uma página em HTML, informando que seus arquivos foram bloqueados e serão liberados mediante pagamento de resgate – nesse caso, 1,2 bitcoin (por volta de 650 dólares). Se o usuário não pagar essa quantia em quatro dias, o resgate aumenta para 5 bitcoins (mais de 2500 dólares).

Infelizmente, especialistas não foram capazes de encontrar uma forma de desencriptar os arquivos e permitir que a vítima burle o pagamento do resgate. Assim, nesse caso, a única opção razoável de proteção é ser extremamente cuidadoso e evitar a infecção.

Como se proteger

Se você quiser evitar um ataque do ZCryptor, siga essas dicas simples:

  • Atualize seu sistema operacional e programas regularmente, corrigindo as vulnerabilidades e prevenindo a difusão do cryptoworm pela rede.
  • Esteja sempre alerta e evite sites suspeitos; não abra anexos provenientes de fontes duvidosas. Em geral, respeite as regras básicas de higiene digital.
  • Desabilite macros do Microsoft Word – estão ganhando popularidade entre os cibercriminosos como meio de espalhar malware.
  • Faça backups rotineiros de seus arquivos e armazene uma cópia em um HD externo que não esteja conectado ao seu PC. Por mais que o backup não previna que o ransomware infecte seu sistema, é um meio de proteção sólida: se você tem seus dados em mãos, não há razão para pagar o resgate.
  • E claro, não esqueça de usar uma solução de segurança confiável.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

One Response to Novo ransomware multidispositivos

  1. José Pinheiro says:

    Meu caro amigo Victor,
    Muitos usuários são leigos em realizar algumas tarefas tais como desabilitar macros ou saber da importância da atualização de certos componentes de hardware/software, como por exemplo a da atualização da BIOS. Quem deve fazer isso são as empresas de segurança, por meio dos seus antivírus/suítes. Que tal incluir isso nas próximas versões?

%d blogueiros gostam disto: