Satana: ransomware dos infernos

Neste ano, ataques de ransomware foram constantes até agora. Todos os dias, pesquisadores encontram novos tipos, descobrindo diferentes formas e métodos usados pelos criminosos para roubar dinheiro diretamente de consumidores

Neste ano, ataques de ransomware foram constantes até agora. Todos os dias, pesquisadores encontram novos tipos, descobrindo diferentes formas e métodos usados pelos criminosos para roubar dinheiro diretamente de consumidores e negócios. Logo que especialistas em segurança conseguem fazer algum progresso contra os avanços das tropas inimigas, os bandidos inventam novas abordagens e técnicas para continuar usando esse tipo de vírus.

Recentemente, outra amostra sofisticada de ransomware foi descoberta. O malware intitulado Satana (“Satã”), sinal de origem russa. O Trojan executa duas tarefas: bloqueia arquivos e corrompe o Master Boot Record (MBR) do Windows, bloqueando o processo de boot do Sistema Operacional.

Já discutimos Trojans que bagunçam o MBR – o Petya ransomware é um desses. Em certos aspectos, o Satana se comporta de maneira similar, por exemplo, injetando seu próprio código no MBR. Contudo, embora o Petya criptografe a Master File Table (MFT), o Satana bloqueia o MBR. Para criptografar os arquivos do PC, o Petya dependia de outro Trojan, o Mischa. O Satana realiza as duas tarefas por si.

Para quem não entende muito dos detalhes de como um computador funciona, explicamos. O MBR é parte do disco rígido. Contém informações sobre arquivos do sistema usados por diferentes partes do disco, bem como em qual partição o sistema operacional está armazenado.

Se o MBR é corrompido – ou criptografado – o computador perde acesso a informações vitais. Se o computador não conseguir achar o sistema operacional, não inicia. Os criminosos por trás de Satana tiraram vantagem desse mecanismo para melhorar seu cryptolocker por meio da habilidade de bloquear o boot. Os hackers removem o MBR, substituindo-o pelo pedido de resgate, encriptam e movem o MBR para outro lugar.

O ransomware exige por volta de 0,5 bitcoins (cerca de 340 dólares) para desencriptar o MBR e receber a senha para os arquivos encriptados. Uma vez pago o resgate, os criadores do Satana dizem que restauraram o sistema operacional e tudo parecerá como antes. Bem, pelo menos é que dizem.

Uma vez dentro do sistema operacional, o Satana escaneia todos os drives e redes, procurando por arquivos dos tipos .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm e começa a encriptá-los. Ele também adiciona um endereço de e-mail e três underlines no começo do nome do arquivo (por exemplo, test.jpg ficaria Sarah_G@ausi.com___test.jpg).

O endereço de e-mail tem por objetivo servir como informação de contato para as vítimas, que devem enviar uma mensagem para o endereço para receberem instruções de pagamento. Até agora, pesquisadores identificaram seis endereços de e-mail distintos utilizados nesta campanha.

A boa notícia é que é possível contornar o bloqueio parcialmente: com certas habilidades, o MBR pode ser corrigido. Especialistas do blog The Windows Club produziram instruções detalhadas sobre como consertar, utilizando a ferramenta de restauração de sistema operacional do Windows. Contudo, a ferramenta foi desenvolvida para usuários experientes em linhas de comando e na funcionalidade bootrec.exe; um usuário comum provavelmente não se sentiria a vontade em utilizar esse método.

A má notícia é que mesmo com o Windows desbloqueado, a outra metade do problema, os arquivos bloqueados, persistem. Nenhuma solução está disponível ainda.

No presente momento, o Satana está apenas começando sua carreira de ransomware. Ainda não se espalhou e pesquisadores identificaram falhas no seu código. Contudo, existem grandes chances que isso evoluirá com o tempo, tornando-se uma ameaça séria sem qualquer sombra de dúvida.

Nosso conselho para os usuários é exercer vigilância constante. As recomendações simples a seguir serão extremamente úteis para diminuir o risco de infecção e manter seus dispositivos longe do problema:

  1. Faça backups regularmente
    Essa medida é como uma apólice de seguro. No caso de um ataque de ransomware, você pode simplesmente reinstalar o sistema operacional e recuperar os arquivos das cópias de backup.
  1. Não visite sites suspeitos e não abra anexos de e-mails suspeitos, mesmo que o link ou e-mail tenha vindo de algum conhecido. Tenha cuidado: pouco se sabe sobre as técnicas de contágio do Satana.
  1. Tenha uma boa solução de segurança. O Kaspersky Internet Security detecta o Satana como Trojan- Ransom.Win32.Satan e impede que ele criptografe arquivos ou bloqueie o sistema.
  1. E claro, não deixe de ficar ligado nas notícias!

Nossa missão no blog é transmitir informações sobre novas ameaças tão rápido quanto possível para malwares não o peguem desprevenido.

Dicas