Uma nova variação do ransomware Onion acaba de surgir, e talvez você já o tenha visto sob o nome de CTB-Locker ou Critroni.
Seja qual for sua maneira de chamá-lo, o CTB-Locker é um malware parecido com o Cryptolocker, que encripta todos os seus arquivos em máquinas de servidores próprios e solicita um resgate para descriptografá-los.
O CTB-Locker, ou Curve Tor Bitcoin Locker, difere-se de outros ransomwares pelo fato de utilizar-se da rede anônima do The Tor Project para proteger-se dos esforços de remoção que dependem em grande parte dos controles de comando e controles de malwares estáticos. A utilização da rede Tor também o ajuda a evitar sua detecção e bloqueio. Outro aspecto que protege o CTB-Locker é que seus controladores aceitam apenas a descentralizada e anônima moeda criptografada Bitcoin.
“Esconder os servidores de comando e controle em uma rede anônima Tor dificulta a busca de cibercriminosos, e o uso de um sistema de criptografia heterodoxo faz com que a descriptografia seja impossível, mesmo se o tráfico de dados for interceptado entre o Trojan e o servidor”, disse Fedor Sinitsyn, analista sênior de malwares do Kaspersky Lab, ao Daily no ano passado. “Tudo isso faz do CTB-Locker uma ameaça altamente perigosa e um dos mais avançados encriptadores que existem.”
Esta nova versão do CTB-Locker – conhecido pelos produtos do Kaspersky Lab como Trojan-Ransom.Win32.Onion – contém alguns upgrades interessantes, de acordo com Sinitsyn. Um caso que anda acontecendo com frequência é quando os controladores oferecem à vítima uma espécie de ‘trial demo’, onde o infectado pode escolher cinco arquivos para descriptografar sem precisar pagar o resgate. O malware está também disponível em três novos idiomas: alemão, holandês e italiano. O CTB consegue também escapar dos esforços de detectar máquinas virtuais que os pesquisadores utilizam para analisar malwares seguramente, não executando nesses meios.
How to explain #ransomware to a 5 year old http://t.co/hSnc2fzQgW pic.twitter.com/Ge2kjGQBlh @kaspersky @SophosLabs @AppRiver @checkpointsw
— TechWeekEurope UK (@TechWeekEurope) 20 janeiro 2015
A melhor maneira de defender-se desta e de outras ameaças é ter realizado o backup do seu computador ontem (e fazê-lo novamente na semana que vem). Você também necessita rodar um anti-vírus forte e e ter a certeza de que todos os seus softwares e sistemas operacionais estão atualizados em suas versões mais recentes. Uma vez que você foi infectado, não há como recuperar seus arquivos encriptados pelo CTB-Locker. Você poderá pagar o resgate, mas apesar do fato de que o cibercrime é um mercado cada vez mais profissional, não existe nenhuma garantia de que você receberá a chave para descriptografar seus arquivos. Gostando ou não, o mercado dos ransomware é grande e a tendência é de que isto torne-se um problema maior à medida em que, cada vez mais, nossa vida diária e pertences estão incorporadas à chamada “Internet das Coisas”.
Até agora, a Rede de Segurança da Kaspersky observou 361 tentativas de infecção pelo CTB, em sua maioria na Rússia e Ucrânia. Usuários dos produtos Karspersky Lab estão protegidos deste e de outros malwares de encriptação, a menos que tenham desabilitado a função “System Watcher”. System Watcher trabalha criando back-up e cópias protegidas de arquivos de usuários acessados de programas suspeitos. Por favor tenha a certeza de que você tem esse módulo funcionando corretamente.A melhor linha de #defesa contra qualquer #ransomware é ter realizado o backup do seu computador ontem.
Tweet
Tip of the week: How to protect yourself from #cryptoware http://t.co/ZaxUdhnTp1 #security pic.twitter.com/3UsHF1bi38 — Kaspersky Lab (@kaspersky) 3 outubro 2014
TL; DR. Clientes Kaspersky estão protegidos enquanto mantém o System Watcher habilitado. Se você já foi infectado, a única maneira de recuperar seus arquivos é pagando o resgate, mas lembre-se, nem dessa forma há a garantia de que isso vai acontecer. Sim, o mundo é difícil.
Tradução: Henrique Bauce