Uma nova onda de spam atingiu centenas de caixas de correio eletrônico, carregando em seu conteúdo anexos maliciosos com a extensão .chm para espalhar o conhecido ransomware Cryptowall. Como a maioria das pessoas sabe, Cryptowall é uma versão avançada do Cryptolocker, um ransomware-Encrypting File muito conhecido por disfarçar o seu payload viral como um aplicativo não-ameaçador ou um arquivo. O payload criptografa os arquivos de computadores infectados, em um esforço contínuo para extrair dinheiro a partir de sua chave de decodificação. Neste cenário, pesquisadores de malware da BitDefender Labs descobriram que essas investidas, que começaram em Fevereiro, tiveram como alvo usuários de todo o mundo, incluindo Reino Unido, os EUA, Holanda, Dinamarca, Suécia, Eslováquia e Austrália. Após a análise feita, os servidores de spam parecem estar no Vietnã, Índia, Austrália, Estados Unidos, Romênia e Espanha.
Curiosamente, neste caso, os crackers têm recorrido a um truque menos habitual, mas altamente eficaz para executar automaticamente o malware na máquina da vítima e criptografar todo o seu conteúdo - isso envolve a utilização de anexos maliciosos com a extensão .chm, afirmou Catalin Cosoi, estrategista-chefe de Segurança na Bitdefender. E falando em ransomware, Cryptolocker, CryptoWall e pragas afins, em janeiro deste ano de 2015, uma nova variação do ransomware Onion surgiu, e talvez você já o tenha visto sob o nome de CTB-Locker ou Critroni. Seja qual for a maneira pela qual você conhece a praga, o importante a ser ressaltado é que CTB-Locker é um malware perigoso e muito parecido com o Cryptolocker, que criptografa todos os seus arquivos em máquinas de servidores próprios, e solicita um resgate (pagamento) para decriptografá-los. O CTB-Locker, ou Curve Tor Bitcoin Locker, consegue se destacar em relação aos outros ransomwares, pelo fato de utilizar-se da rede anônima The Tor Project para proteger-se dos esforços de remoção que dependem, em grande parte, dos centros de comando e controle de malwares estáticos. Além disso, a utilização da rede Tor também o ajuda a evitar sua detecção e bloqueio. Outro aspecto que protege o CTB-Locker é que seus controladores aceitam apenas a descentralizada e anônima moeda criptografada Bitcoin.
Camuflar os servidores de comando e controle em uma rede anônima Tor, dificulta muito a busca por cybercriminosos, e o uso de um sistema de criptografia heterodoxo faz com que o processo de decriptografia seja praticamente impossível, mesmo se o tráfico de dados for interceptado entre o Trojan e o servidor. E tudo isso faz do CTB-Locker uma ameaça altamente perigosa e o torna também um dos mais avançados encriptadores que existem. Além do mais, esta nova versão do CTB-Locker – conhecido pelos produtos do Kaspersky Lab como Trojan-Ransom.Win32.Onion, contém alguns upgrades interessantes. Nesse cenário, um caso que anda acontecendo com frequência é quando os controladores oferecem à vítima uma espécie de "trial demo", onde o infectado pode escolher cinco arquivos para decriptografar sem precisar pagar pelo resgate. Importante ressaltar que o malware está também disponível em três novos idiomas: alemão, holandês e italiano. Além de suas outras habilidades, o CTB consegue também, escapar dos esforços de detectar máquinas virtuais que os pesquisadores utilizam para analisar malwares seguramente, não executando nesses meios.
Realização de Backup é Essencial
Dessa forma, a melhor maneira de defender-se desta e de muitas outras ameaças é ter realizado o backup do seu computador (e fazê-lo novamente na semana posterior). O usuário do computador também precisa rodar um anti-vírus forte e ter a certeza absoluta de que todos os seus softwares e sistemas operacionais estão atualizados em suas versões mais recentes. Uma vez que você foi infectado, não há como recuperar seus arquivos encriptados pelo CTB-Locker. A pessoa poderá pagar o resgate, mas levando fortemente em consideração o fato de que o cybercrime é um mercado cada vez mais profissional e sofisticado, não existe nenhuma garantia de que ela receberá mesmo a chave para decriptografar seus arquivos. Seja satisfatória ou não esta realidade, o mercado dos ransomware é cada vez maior e a tendência é de que isto torne-se um problema com dimensões cada vez mais extensas, à medida em que, cada vez mais, nossa vida diária e pertences estão incorporados à chamada "Internet das Coisas". Ressaltando ainda que até janeiro, a Rede de Segurança da Kaspersky tinha observado 361 tentativas de infecção pelo CTB, em sua maioria na Rússia e Ucrânia. Assim, usuários dos produtos Karspersky Lab estão protegidos deste e de outros malwares que tem a capacidade de criptografar arquivos, a menos que tenham desabilitado a função "System Watcher". A função System Watcher trabalha criando back-up e cópias protegidas de arquivos de usuários, que são acessados a partir de programas suspeitos. Portanto, é necessário certificar-se de que você tem esse módulo funcionando corretamente.
Pagar Resgate nem Sempre Pode Resolver o Problema
Tal como acontece com os fraudadores da vida real, não existe absolutamente nenhuma garantia de que eles vão concretizar a sua parte do "negócio", ou seja, podem estar blefando apenas com o intuito de arrancar dinheiro de suas potenciais vítimas. Mesmo se a vítima optar por realizar o pagamento, isso não significa que elas terão acesso aos seus arquivos. A melhor opção, de fato, é fazer todo o possível para prevenir a infecção. Outro ponto importante a ser tratado, é lembrar que o ransomware é distribuído como outros tipos de malware. Isso porque existem muitas maneiras do ransomware ser distribuído, mas na maioria das vezes ele é entregue via spam, ou age como worms de computador, incitando os usuários a fazer o download de conteúdo malicioso e utilizando técnicas genéricas de engenharia social. Além disos, o Cryptolocker original, por exemplo, já foi distribuído através do famoso botnet Gameover ZeuS e foi neutralizado pelas autoridades durante a famosa operação "Tovar". Durante esta operação, uma base de dados de chaves privadas utilizadas pelo Cryptolocker foi recuperada e em seguida, utilizada para ajudar as vítimas deste ransomware a recuperar seus arquivos criptografados.
Nível de Sofisticação Crescente
Os codificadores estão utilizando técnicas de criptografia RSA cada vez mais sofisticadas, e códigos cada vez mais extensos. Em meados de 2006, o ransomware Gpcode.AG utilizava uma chave RSA pública de 660 bit. Em dois anos, a sua nova variante já utilizava uma chave de 1024 bits, o que era quase impossível de decifrar. Na atualidade, a praga Cryptolocker utiliza uma chave RSA de 2048 bits. Outro ponto importante é a geração de lucratividade cada vez mais alta: o ransomware representa a aquisição de milhões de dólares para os seus operadores. No ano de 2013, a agência ZDnet descobriu que os donos do CryptoLocker já havíam arrecadado quase 42 mil BTC (equivalentes a 27 milhões de dólares) com suas fraudes aplicadas pelo mundo afora. Na sequência disso, após as autoridades terem neutralizado a botnet GameOver Zeus, as pesquisas realizadas com as vítimas deste terrível malware mostrou que cerca de 1,3% delas escolheram pagar o resgate para ter sua máquina desbloqueada. Ainda que esse número pareça ser baixo, a representatividade financeira é muito alta.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2981