Vírus sequestrador TeslaCrypt 2.0: mais forte e perigoso

Os cibercriminosos estão aprendendo uns com os outros. Nossa constatação tem como exemplo o caso do TeslaCrypt. Ele faz parte de um grupo recentemente descoberto de ransomware, detectado pela primeira

Os cibercriminosos estão aprendendo uns com os outros. Nossa constatação tem como exemplo o caso do TeslaCrypt. Ele faz parte de um grupo recentemente descoberto de ransomware, detectado pela primeira vez em fevereiro de 2015. O TeslaCrypt chamou atenção por ser um malware que além de atacar arquivos comuns, como documentos, imagens e vídeos, também atinge arquivos relacionados a jogos. Por diversas falhas técnicas, ele foi considerado inicialmente um malware fraco.

Os criadores do malware até assustaram suas vítimas ao utilizarem o complexo algoritmo RSA-20148, mas analisando com mais calma, percebeu-se que a criptografia tinha falhas. Durante o processo de criptografia, o malware armazenado em um arquivo no disco rígido do computador da vítima tentava salvar as senhas e bloquear os arquivos, mas era possível interromper o funcionamento do codificador ou extrair a chave antes da área atingida do disco rígido ser substituída.

Como constatamos, os criminosos estão aprendendo e trocando experiências. Na versão mais recente TeslaCrypt 2.0, recentemente descoberta por pesquisadores da Kaspersky Lab, os criadores do malware tem implementado alguns novos recursos que impedem a descriptografia dos arquivos roubados e a localização dos servidores de comando e controle do malware.

Novidades

A primeira mudança adota foi o uso do sofisticado algoritmo de criptografia de curva elíptica do famoso e problemático ransomware CTB-Locker. Em segundo lugar, eles mudaram o método de storaging: agora o registro do sistema é usado, em vez de um arquivo do disco.

Em terceiro lugar, o criador do TeslaCrypt roubou a página web do CryptoWall, ransomware do mesmo grupo, para onde eram encaminhadas as vítims. Evidente que todas as credenciais de pagamento foram alteradas, mas o texto que “vendia” o acesso foi mantido, por ser considerado muito eficaz. De qualquer jeito, o valor de resgate é muito alto: cerca de 500 dólares, se considerarmos a atual taxa de conversão da bitcoin.

Os malwares da família do TeslaCrypt são conhecidos por serem distribuídos usando Kits Exploit, como o Angler, Sweet Orange e Nuclear. Este método de distribuição de malware funciona da seguinte forma: a vítima visita um site infectado, o Exploit malicioso usa as vulnerabilidades dos browsers (normalmente, os plugins) para instalar o malware no sistema.

Os produtos da Kaspersky Lab detectam malware a partir da família do TeslaCrypt, incluindo a versão mais recente, apresentada neste post, como também o Trojan-Ransom.Win32.Bitman. Por isso, nossos usuários podem ficar tranquilos, todos estão protegidos.

Nossas recomendações para combater este e outros grupos de ransomware incluem o seguinte:

  1. Faça backup e crie cópias de todos os seus arquivos importantes em uma base protegida. As cópias devem ser mantidas em um dispositivo que não esteja ligado fisicamente ao arquivo principal, podendo ser imediatamente desconectado após a conclusão do backup. Isso é importante porque esses tipos de malware, como o TeslaCrypt, podem criptografar unidades conectadas, as pastas nas redes e o disco rígido.
  2. É muito importante manter os softwares atualizados, especialmente o navegador e os plugins.
  3. Caso seu sistema esteja infectado por programas maliciosos, a melhor forma de combate é estar com a versão do software de segurança atualizada, assim como os bancos de dados e módulos de segurança ativos.
Dicas