Recentemente, foi descoberta uma nova variante de ransomware que ataca suas vítimas, codificando os documentos armazenados no computador e pedindo resgate por eles. O nome da nova ameaça é CryptoLocker.
Se você acompanha nosso blog, sabe que o ransomware é um tipo de malware que, uma vez que infecta o computador, bloqueia a máquina e chantageia a vítima para que esta recupere o controle do computador. É claro que pagar o resgate não é garantia de que o cibercriminoso devolva o acesso à máquina. É mais provável que ele nunca faça isso e que só tenha pedido o regaste para prejudicar ainda mais a vítima.
Há uma série de ameaças perigosas que divulgamos por aqui. Para nós da Kaspersky Lab é importante explicar quais são essas ameaças, como funcionam e quais são os métodos de proteção.
Não nos surpreende que alguns dos usuários infectados afirmem não terem recebido a chave de desbloqueio após o pagamento do resgate. Apesar disso, alguns relatos indicam que o grupo por trás do ataque começou, na semana passada, a distribuir às vítimas as chaves de decodificação.
Existem, atualmente, diferentes grupos que estão utilizando o CrypoLocker nos seus ataques. Este malware criptografa todos os tipos de documentos (fotos, vídeos, áudio etc), além disso, oferece aos usuários infectados uma lista com todos os arquivos. Para realizar isto, o malware utiliza o sistema RSA-2048 de criptografia, protegida por uma chave privada. A interface do ransomware exibe um relógio de contagem regressiva de três dias, alertando os usuários de que a medida que o tempo passa e o resgate não é a pago, a chave de decodificação privada será apagada para sempre e não haverá nenhuma maneira de recuperar os arquivos.
O regaste exigido pelos cibercriminosos gira em torno de US$ 300 e oferece diferentes métodos de pagamento, incluindo Bitcoin.
Este malware é tão potente que o departamento US-CERT dos EUA está encarregado de analisar e reduzir os riscos das ameaças online. Sua assessoria advertiu publicamente sobre este novo perigo. Na nota, foi informado sobre a ascensão das infecções do CryptoLocker, mas a finalidade principal foi aconselhar os usuários infectados a não pagar o resgate.
O CryptoLocker está se espalhando através de várias campanhas de phishing. Algumas vítimas disseram também que o malware apareceu em seus computadores por meio de uma infecção de botnet. De acordo com Costin Raiu, da Kaspersky, este malware atinge, em primeiro lugar, os usuários dos EUA e Reino Unido.
Algumas versões do CryptoLocker são supostamente capazes de afetar não apenas os arquivos locais, mas também arquivos armazenados em mídias removíveis, como pen drives, discos rígidos externos, compartilhamento de arquivos de rede e alguns serviços de armazenamento em nuvem que são capazes de sincronizar pasta local com o armazenamento online. A nota do US- CERT também alerta que o malware pode saltar de uma máquina para outra dentro de uma rede e aconselha que os usuários infectados removam imediatamente as máquinas da rede.
O jornalista especializado em segurança informática Brian Krebs informou no início desta semana a equipe por trás CryptoLocker ampliou o prazo de 72 horas para pagamento do resgate, provavelmente porque eles estavam perdendo dinheiro com os usuários. Embora continue a tática da contagem regressiva, a chave de desbloqueio não some da tela depois que expira o prazo. Em vez disso, os cibercriminosos apenas multiplicam o preço original até dez vezes.
Lawrence Abrams , especialista em malwares do BleepingComputer.com, afirma que existe uma série de empresas e pessoas físicas que não tem outra opção a não ser pagar o resgate. Eu discordo. Se você pagar, isso só irá incentivá-los a continuar com o cibercrime. Por isso, para evitar as consequências deste malware, faça backup de sua máquina regularmente e não deixe conectada a unidade de backup externa na sua máquina. Se o computador é infectado, poderemos recuperar os dados da cópia de segurança.
Alguns antivírus podem ajudá-lo com este problema, mas de acordo com o relatório de Krebs, certos produtos eliminam o programa uma que vez os arquivos tenham sido criptografados e impedem que o usuário possa recuperá-los ainda que o pagamento do resgate seja realizado. Os autores do CryptoLocker utilizarm papéis de parede do sistema para lidar com esse cenário. Se a vítima estiver disposta a pagar, mas o antivírus removeu a infecção (isto não descriptografa os arquivos), é possível fazer o download executável do malware usando o link escrito sobre o papel de parede.
Os usuários do Kaspersky Internet Security estão protegidos contra todas as modificações atuais do CryptoLocker, impedindo que ele bloquei o computador das possíveis vítimas.