Ransomware CTB-Locker ataca servidores na web

Assim como empresários de sucesso, cibercriminosos estão sempre à procura de novos mercados. Conduzem experimentos, mudam o público alvo e fornecem feedbacks às vítimas – tudo para aumentar os lucros.

Assim como empresários de sucesso, cibercriminosos estão sempre à procura de novos mercados. Conduzem experimentos, mudam o público alvo e fornecem feedbacks às vítimas – tudo para aumentar os lucros. Foi isso que observamos na última versão do CTB-Locker.

Esse tipo de ransomware já era bem competente no passado. Utilizavam as redes anônimas do Tor Project para se proteger de especialistas em segurança e aceitavam apenas pagamentos irrastreáveis em Bitcoins.

A boa notícia para usuários domésticos, e ruim para empresas: a nova versão do CTB-Locker tem como alvo apenas servidores web. Enquanto os ransomware tradicionais sequestram arquivos do usuário, essa versão criptografa dados hospedados no servidor. Sem esses arquivos, um site não existe.

Criminosos pedem 150 dólares de resgate (0,4 bitcoins) como resgate. Se a vítima não paga no tempo determinado, o preço é dobrado.

Os criminosos mudam a página inicial do site hackeado, deixando uma mensagem que explica como e quando o dinheiro deve ser transferido.  Prestativos, fornecem um vídeo explicando como comprar bitcoins e oferecem destravar dois arquivos aleatórios como prova de “honestidade”.  Uma vítima ainda pode bater um papo com os criminosos, usando um código disponível apenas para as vítimas.

Até onde sabemos, o CTB-Locker já criptografou mais de 70 servidores em 10 países, sendo os Estados Unidos o mais afetado, o que não é surpresa.

Ferramenta de descodificação “gratuita”

O CTB-Locker é um verdadeiro tormento na Internet, já que não existe uma ferramenta de desbloqueio que possa ajudar as vítimas. A única forma de conseguir os arquivos criptografados de volta rapidamente é pagando o resgate.

Ainda não se sabe como o CTB-Locker está entrando nos servidores, mas notamos algo em comum: grande parte das vítimas utiliza a plataforma WordPress. Por isso, recomendamos:

    Atualize o WordPress regularmente. Suas versões anteriores tendem a ter vulnerabilidades conhecidas.

    Tenha cuidado com plugins de terceiros: essas extensões podem ser úteis, mas somente quando criadas por desenvolvedores confiáveis.

    Faça backups sempre, especialmente, dos dados mais importantes.

    Tenha cuidado com os emails de phishing.

    Não acredite em propagandas incríveis demais. Principalmente aquelas que pedem para instalar um software de terceiros (por exemplo para análise de dados).

Por mais que essa versão tenha como alvo apenas sites, existem diversos outros ransowares que estão interessados em seus dados pessoais. Para usuários domésticos, recomendamos a instalação de uma solução de segurança confiável, fazer backups regularmente e evitar o phishing já que ele é hoje, o meio de propagação mais comum entre todos os tipos de programas maliciosos, incluindo os ransomware.

Dicas