Após a análise de uma nova versão do ransomware Xpan que vem atacando principalmente usuários brasileiros, a equipe global de análise da Kaspersky Lab (GReAT) descobriu um método de decifrar os arquivos desta nova praga. Usando esta técnica, nossos especialistas já ajudaram várias empresas a recuperar seus dados sem pagar resgate.
Cibercriminosos brasileiros estão concentrando seus esforços na reutilização de antigas famílias de ransomware previamente vistas no cenário global. Eles as usam para atacar pequenas empresas e usuários desavisados. Nossos experts acreditam ser esta a próxima etapa no panorama de ameaças: de ataques em escala global para mais localizados.
Variante local
Um exemplo é Xpan. Em setembro de 2016, os pesquisadores da Kaspersky analisaram suas amostras e desenvolveram uma ferramenta de descriptografia. Atacando vítimas através de conexões RDP (protocolo de desktop remoto) mal protegidas, criminosos conseguiam instalar manualmente o ransomware e criptografar os arquivos no dispositivo.
Em 2017, nossos analistas encontraram novas versões do Xpan no Brasil. Essas variantes encriptam os arquivos da vítima e alteram a extensão original para “.one“. Tecnicamente, o malware é quase idêntico ao anterior.
Mensagem exibida pelo Xpan no computador da vítima
A Kaspersky alerta as empresas afetadas por este ransomware a não pagar o resgate. É possível desbloquear os arquivos gratuitamente. Desta vez, a sorte está do lado das vítimas: após investigação minuciosa e engenharia reversa de uma amostra “.one” do Xpan, descobrimos que os criminosos usavam uma implementação de algoritmo criptográfico vulnerável. Isso permitiu a quebra da criptografia, como ocorreu com a versão anterior. Usando esse método, nossos especialistas ajudaram uma auto escola e uma clínica dentária no Brasil a recuperarem seus arquivos.
Sua empresa foi atacada por #ransomware? Não pague o resgate! Consulte nossa página com ferramentas gratuitas: https://t.co/keDbJbw3nF pic.twitter.com/4af0iVJxU9
— Kaspersky Brasil (@Kasperskybrasil) March 15, 2017
“Cibercriminosos brasileiros já se deram conta de que ataques de ransomware podem ser tão lucrativos quanto os que usam trojans bancários. Temos visto muitas novas famílias de ransomware sendo criadas por aqui – é uma tendência sem volta”, afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil. Vítimas da variante “.one” e anteriores do Xpan podem entrar em contato com o suporte técnico da Kaspersky Lab para obter assistência.