Analistas e pesquisadores concordam que 2016 foi o ano no qual ransomwares tornaram-se protagonistas do cibercrime. Os responsáveis pelos ataques não precisaram de muito tempo para entender o lucro potencial dos cryptolockers. Para se ter uma ideia, pesquisadores do Cisco reportaram em 2015 que um único kit exploit Angler resultou em um lucro de 60 milhões de dólares, ou 5 milhões mensalmente!
A notória dupla do mercado atual de ransomwares – Petya e o Mischa, bem como seu parente distante, o Locky, – fazem vítimas em mais de 100 países. Recentemente, os hackers passaram a ter como foco empresas e organizações detentoras de dados valiosos. Explicamos aqui no blog como diversos hospitais nos EUA foram vítimas.
A ascenção dos cryptoworms
Na tentativa de obter o maior lucro possível, o mais rápido possível, os cibercriminosos procuram formas de expandir seus ataques. Campanhas maliciosas de spam ainda funcionam, mas não são tão eficientes como antes; com as ciberameaças recebendo cobertura midiática, usuários estão se tornando mais atentos e conhecendo os truques mais usados.
Outro desenvolvimento importante foi que navegadores e antivírus aprenderam a detectar e bloquear URLs maliciosas ou spams associados aos malwares. Em resposta, hackers mudaram a abordagem. Agora, têm usado métodos antigos nas campanhas de maior abrangência e campanhas eficientes: os bons e velhos worms.
Pesquisadores previram que a próxima geração de ransomwares serão os cryptoworms – híbrido venenoso de malware e ransomware com poder de propagação automático. Esse novo tipo de malware aproveita o melhor dos dois mundos para formar uma nova espécie que pode se copiar e distribuir por meio dos computadores infectados, encriptando e exigindo o resgate ao mesmo tempo.
O primeiro malware como esse, o SamSam, se infiltrava em diversas redes corporativas de computadores bem como no armazenamento em nuvem, contendo as cópias de backup.
#Ransomware: Como até um malware ingênuo pode ter sucesso | https://t.co/gCalCFZ2Ze pic.twitter.com/q2sDiW1re9
— Kaspersky Brasil (@Kasperskybrasil) June 1, 2016
ZCryptor
Essa semana, a Microsoft detectou uma nova amostra de cryptoworm, nomeado ZCryptor. Sua grande diferença é que encripta os arquivos e se auto-propaga para outros computadores e dispositivos de rede, sem usar spams maliciosos e exploit kits. O malware se copia em computadores conectados e dispositivos portáteis.
Para infectar a primeira vítima, o ZCryptor utiliza técnicas comuns, se mascarando como instalador de um programa conhecido (como o Adobe Flash), ou se infiltrando no sistema por meio de macros maliciosas em um arquivo do Microsoft Office.
https://twitter.com/campuscodi/status/736148705120751616
Uma vez no sistema, o cryptoworm infecta dispositivos externos e pendrives com intuito de se distribuir para outros computadores, e é aí que encripta os arquivos. O ZCryptor pode bloquear mais de 80 formatos de arquivo (algumas fontes dizem ser 120), adicionando a extensão .zcrypt ao nome.
Depois disso, a história volta para um cenário já conhecido: usuários visualizam uma página em HTML, informando que seus arquivos foram bloqueados e serão liberados mediante pagamento de resgate – nesse caso, 1,2 bitcoin (por volta de 650 dólares). Se o usuário não pagar essa quantia em quatro dias, o resgate aumenta para 5 bitcoins (mais de 2500 dólares).
Infelizmente, especialistas não foram capazes de encontrar uma forma de desencriptar os arquivos e permitir que a vítima burle o pagamento do resgate. Assim, nesse caso, a única opção razoável de proteção é ser extremamente cuidadoso e evitar a infecção.
eBook GRATIS: Os perigos dos vírus sequestradores e como proteger-se | https://t.co/yeja4KJbkJ #ransomware pic.twitter.com/4UHt7DwAcQ
— Kaspersky Brasil (@Kasperskybrasil) May 16, 2016
Meios de proteção
Se você quiser evitar um ataque do ZCryptor, siga essas dicas simples:
• Atualize seu sistema operacional e programas regularmente, corrigindo as vulnerabilidades e prevenindo a difusão do cryptoworm pela rede.
• Esteja sempre alerta e evite sites suspeitos; não abra anexos provenientes de fontes duvidosas. Em geral, respeite as regras básicas de higiene digital.
• Desabilite macros do Microsoft Word – estão ganhando popularidade entre os cibercriminosos como meio de espalhar malware.
• Faça backups rotineiros de seus arquivos e armazene uma cópia em um HD externo que não esteja conectado ao seu PC. Por mais que o backup não previna que o ransomware infecte seu sistema, é um meio de proteção sólida: se você tem seus dados em mãos, não há razão para pagar o resgate.
• E claro, não esqueça de usar uma solução de segurança confiável. O Kaspersky Internet Security detecta o ZCryptor como Trojan-Ransom.MSIL.Geograph e protege usuários dessa ameaça.