Recentemente, falantes de russo e inglês tornaram-se vítimas de um novo ransomware, um Trojan chamado Ded Cryptor. A ganância do vírus é tanta que exige 2 bitcoins (por volta de 1300 dólares) de resgate. Infelizmente, nenhuma solução para romper a criptografia foi disponibilizada ainda.
Quando um computador é infectado pelo Ded Cryptor, o malware altera o wallpaper para um Papai Noel de aspecto monstruoso. Uma imagem assustadora e um pedido de resgate – parece com qualquer outro ransomware, não é mesmo? Mas o Ded Cryptor possui uma origem interessante, como um thriller, com os caros bons de um lado e os malvados do outro, cometendo erros e encarando consequências.
Ransomware para todos!
Tudo começou quando Utku Sen, especialista em segurança da Turquia, criou um ransomware e publicou o código online. Qualquer um poderia baixá-lo do GitHub, recurso gratuito e aberto que desenvolvedores usam para colaborar em projetos (o código foi removido depois e logo você descobrirá o porquê.)
Era uma ideia revolucionária: tornar o código fonte livre e gratuito para os criminosos, os quais sem dúvida usariam isso para criar seus próprios cryptors (foi o que aconteceu). Contudo, Sen, hacker “do bem”, tinha como objetivo que todo especialista em cibersegurança precisa entender como os criminosos pensam – e como criam códigos. Ele acredita que sua abordagem pouco ortodoxa ajudaria as pessoas bem-intencionadas a lutarem contra as malvadas mais eficientemente.
Em uma fase mais antiga do projeto, o ransomware Hidden Tear também fez parte do experimento de Sen. Desde o começo, o trabalho de Sen possuía apenas propósitos educativos e de pesquisa. Com o tempo, ele desenvolveu um novo tipo de ransomware, que poderia funcionar offline. Mais tarde, o EDA2 – um modelo poderoso – apareceu. O EDA 2 possuía criptografia assimétrica ainda melhor que a do Hidden Tear. Além disso, se comunicava com um servidor de comando e controle, para o qual sua senha de criptografia era transferida.
O código fonte do EDA2 também foi publicado no GitHub, o que trouxe críticas e muita atenção para o Utku Sen. Com o código fonte aberto e acessível a todos,, qualquer criminoso em potencial, mesmo um sem qualquer habilidade de programação, poderia usar o ransomware de Sen para sequestrar os dados alheios. Será que Sen não entendia isso?
Ele tinha essa consciência: Sen inseria brechas em seu ransomware permitiam recuperar as senhas de criptografia. Isso significa que caso ele ouvisse falar de seu ransomware sendo usado para propósitos malignos, poderia obter a URL do servidor de comando e controle e a partir disso obter as senhas e fornecê-las às vítimas. Contudo, temos um probleminha aí. Para liberar seus arquivos, a vítima precisaria conhecer o hacker. A grande maioria das vítimas nunca ouviu falar de Utku Sen.
Você fez o sequestrador, agora pague o resgate!
É claro que vírus criados por terceiros a partir do Hidden Tear ou do EDA2 não demoraram a aparecer. Sen lidou com o primeiro com relativo sucesso: Ele publicou a senha e esperou que as vítimas a encontrasse. Mas nem tudo correu como o esperado.
Magic, um ransomware baseado no EDA2, era extremamente parecido com o original, não prometendo muita coisa. Quando Sen ficou sabendo de sua existência, ele tentou extrair a senha de criptografia como feito antes (pela brecha) – mas ela já não existia. Os cibercriminosos responsáveis pelo Magic utilizaram um serviço de hospedagem gratuita para o servidor de comando e controle. Quando o serviço recebeu reclamações a respeito da atividade maliciosa, simplesmente tiveram suas contas e arquivos deletados. Qualquer chance de obter as senhas para libertar os arquivos das vítimas foi apagada com os arquivos dos bandidos.
Backup ajuda a prevenir ataques de #ransomware| https://t.co/yeja4KJbkJ pic.twitter.com/rTSBEhSGc9
— Kaspersky Brasil (@Kasperskybrasil) July 12, 2016
A história não acaba aí. Os criadores do Magic entraram em contato com Utku Sen, e a conversa entre os lados resultou em uma discussão longa e pública. No início, os bandidos ofereceram publicar as senhas se Sen concordasse em remover o código fonte do EDA2 do domínio público e pagasse 3 bitcoins. Com o tempo, os dois lados concordaram em deixar o resgate monetário fora do acordo.
As negociações ficaram bem interessantes: Os leitores ficaram sabendo das motivações políticas dos hackers – e que eles quase publicaram a senha por conta de um homem que perdeu todas as fotos do filho recém-nascido por conta do Magic.
No fim, Sen removeu os códigos fontes do EDA2 e do Hidden Tear do GitHub, mas já era tarde demais. Muitas pessoas já tinham realizado o download. No dia 2 de fevereiro de 2016, um especialista da Kaspersky Lab, Jornt van der Wiel, notou em um artigo do Securelist que existiam 24 encryptors baseados no Hidden tear e no EDA2. Desde então o número apenas aumentou.
Como um projeto open source resultou em um poderoso #ransomware
Tweet
Como o Ded Cryptor nasceu
O Ded Cryptor é um desses descendentes. Apesar de utilizar o código fonte do EDA 2, seu servidor de comando e controle é hospedado no Tor o que assegura segurança e anonimato. As comunicações do ransomware ocorrem por meio do serviço tor2web, que permite que programas usem o Tor sem o navegador do Tor.
De certa forma, o Ded Cryptor foi criado a partir de diversos códigos publicados no GitHub, como o Frankestein. Os criadores utilizaram códigos do servidor proxy de outro desenvolvedor do GitHub; o código para envio de solicitações foi escrito incialmente por um terceiro programador. Um aspecto pouco usual do ransowmare é que ele não envia solicitações para o servidor diretamente. Utiliza para isso o servidor proxy do PC infectado.
Vírus sequestradores para smartphones estão mais perigosos | https://t.co/R99eb6xB21 #ransomware pic.twitter.com/Y4PraItiUU
— Kaspersky Brasil (@Kasperskybrasil) July 5, 2016
Até onde sabemos, os desenvolvedores do Ded Cryptor são falantes de russo. Primeiro, o pedido de resgate existia apenas em inglês e russo. Segundo, o analista de malware sênior da Kaspersky Lab, Fedor Sinitsyn, analisou o código do ransomware e encontrou o seguinte endereço de arquivo C:UserssergeyDesktopдоделатьeda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (Inclusive, o ransomware Magic, anteriormente mencionado, também foi desenvolvido por falantes de russo.)
Infelizmente, pouco se sabe sobre o método de dispersão do Ded Cryptor.. De acordo com a Kaspersky Security Network, o ransomware baseado no EDA2 está ativo principalmente na Rússia. Depois, temos China, Alemanha, Vietnã e Índia.
Ainda no quesito de problemas, até o presente momento não existe nenhuma forma de desencriptar os arquivos bloqueados pelo Ded Cryptor. As vítimas podem tentar recuperar os arquivos por cópias sombra de seus sistemas operacionais caso essas tenham sido feitas. No fim, a melhor proteção é se prevenir.
O Kaspersky internet Security detecta todos os Trojans baseados no hidden Tear e no EDA2, avisando o usuário ao encontra-los por meio da seguinte nominação: Trojan-Ransom.MSIL.Tear. Ele também bloqueia operações de ransomware e não permite que arquivos sejam encriptados.
O Kaspersky Total Security faz isso tudo e ainda viabiliza backups automáticos, os quais podem ser úteis para os mais diversos casos, desde infecções de ransomwares até morte súbita de disco rígido.