Kaspersky derruba ransomware que ataca empresas brasileiras

Pesquisadores do GREaT descobriram como decodificar variante de vírus sequestrador que tem infectado companhias e usuários no País

Após a análise de uma nova versão do ransomware Xpan que vem atacando principalmente usuários brasileiros, a equipe global de análise da Kaspersky Lab (GReAT) descobriu um método de decifrar os arquivos desta nova praga. Usando esta técnica, nossos especialistas já ajudaram várias empresas a recuperar seus dados sem pagar resgate.
Cibercriminosos brasileiros estão concentrando seus esforços na reutilização de antigas famílias de ransomware previamente vistas no cenário global. Eles as usam para atacar pequenas empresas e usuários desavisados. Nossos experts acreditam ser esta a próxima etapa no panorama de ameaças: de ataques em escala global para mais localizados.

Variante local

Um exemplo é Xpan. Em setembro de 2016, os pesquisadores da Kaspersky analisaram suas amostras e desenvolveram uma ferramenta de descriptografia. Atacando vítimas através de conexões RDP (protocolo de desktop remoto) mal protegidas, criminosos conseguiam instalar manualmente o ransomware e criptografar os arquivos no dispositivo.

Em 2017, nossos analistas encontraram novas versões do Xpan no Brasil. Essas variantes encriptam os arquivos da vítima e alteram a extensão original para “.one“. Tecnicamente, o malware é quase idêntico ao anterior.
Mensagem exibida pelo Xpan no computador da vítima

A Kaspersky alerta as empresas afetadas por este ransomware a não pagar o resgate. É possível desbloquear os arquivos gratuitamente. Desta vez, a sorte está do lado das vítimas: após investigação minuciosa e engenharia reversa de uma amostra “.one” do Xpan, descobrimos que os criminosos usavam uma implementação de algoritmo criptográfico vulnerável. Isso permitiu a quebra da criptografia, como ocorreu com a versão anterior. Usando esse método, nossos especialistas ajudaram uma auto escola e uma clínica dentária no Brasil a recuperarem seus arquivos.

“Cibercriminosos brasileiros já se deram conta de que ataques de ransomware podem ser tão lucrativos quanto os que usam trojans bancários. Temos visto muitas novas famílias de ransomware sendo criadas por aqui – é uma tendência sem volta”, afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil. Vítimas da variante “.one” e anteriores do Xpan podem entrar em contato com o suporte técnico da Kaspersky Lab para obter assistência.

Dicas