• Disponível Ferramenta para Decodificação do Ransomware TeslaCrypt

    Para aquelas pessoas que foram vítimas do ransomware TeslaCrypt, uma notícia muito boa: os pesquisadores da Cisco criaram uma ferramenta para que elas possam decriptografar os arquivos e evitar o pagamento do pedido de resgate. Primeiramente descoberto e analisado em março de 2015, TeslaCrypt se parece muito com o ransomware Cryptolocker, mas, além de criptografar a variedade usual de tipos de arquivos (documentos, imagens, vídeos, arquivos de banco de dados, etc.), ele também atinge os tipos de arquivos associados com vídeos, games e software relacionados a games. Ele também criptografa arquivos relacionados ao iTunes. Ao todo, ele atinge mais de 180 extensões de arquivo. Mesmo que o malware queira criptografar os arquivos com o algoritmo assimétrico RSA-2048, que na verdade usa o algoritmo simétrico AES, significa que a mesma chave é usada tanto para criptografar e decriptografar os arquivos. Isto permitiu que os pesquisadores pudessem criar uma ferramenta (parcialmente) de sucesso, já que esta chave mestra pode ser recuperada a partir do arquivo key.dat algumas versões do malware são colocadas na máquina de destino, para que ele possa calcular a chave de criptografia, caso não possa entrar em contato com o servidor C & C. Se o arquivo key.dat não incluir a chave mestra, a ferramenta não irá funcionar.


    Nesses casos, o processo de criptografia foi realizado a partir da chave de recuperação com criptografia de curva elíptica, e enviada para o servidor C & C. De acordo com o pesquisador Andrea Allievi, foi desenvolvido um trabalho no algoritmo usado para fazer isso, mas não há conhecimento algum de que haverá capacidade de produzir um algoritmo de trabalho que possua habilidade para fazer o oposto, em um curto espaço de tempo. Além de tudo, o processo de decodificação do TeslaCrypt é feito por um utilitário de linha de comando, mas ele é fácil de usar e os pesquisadores incluíram instruções sobre seu uso. O utilitário de decodificação é uma ferramenta de testes que não é oficialmente suportada e assim, o usuário assume toda e qualquer responsabilidade em relação ao uso da ferramenta. Essa declaração foi dada pelos pesquisadores que aconselharam que os usuários façam backup de seus arquivos criptografados antes de usar a ferramenta.

    No início deste mês, os pesquisadores da Kaspersky Lab e do National High Tech Crime Unit (NHTCU) de polícia da Holanda, disponibilizaram um repositório de chaves de decodificação e um aplicativo de decodificação para vítimas do ransomware CoinVault. Além disso, foi feita a divulgação sobre o ScraperDecryptor, que é uma ferramenta que pode decifrar a maioria dos arquivos criptografados pelo ransomware TorLocker.


    TeslaCrypt é Caracterizado pela Agressividade nas Investidas

    Um ransomware bastante agressivo. Assim é caracterizado TeslaCrypt, cujas atividades são direcionadas aos usuários do Windows, e traz inovações através da expansão de uma fórmula familiar muito bem sucedida. Como muita gente já deve saber, ransomware é o tipo mais ardiloso de software malicioso porque tiram proveito máximo de técnicas de engenharia social. Além disso, as práticas de ransomware tem feito vítimas em todo o mundo, o que vem preocupando muito os profissionais da área de segurança. Ele deliberadamente bloqueia o seu computador ou seus arquivos, e, então, pede dinheiro para liberá-los volta. TeslaCrypt, detectado pela primeira vez pela SophosLabs em janeiro de 2015, investe contra os arquivos de suas vítimas, da mesma forma que agem o CryptoLocker e CryptoWall, mas que detém ainda mais tipos de arquivo para poder pedir o resgate. E também como o CryptoLocker e o CryptoWall, TeslaCrypt busca dados valiosos no seu computador através da procura de tipos de arquivos como fotos, planilhas financeiras e documentos do Office.

    No entanto, em uma nova reviravolta interessante, TeslaCrypt também procura os arquivos relacionados a dezenas de jogos, incluindo jogos salvos, configurações, mapas e replays. Dentre os alvos do ransomware, constam alguns jogos bem conhecidos incluindo Call of Duty, World of Warcraft, DayZ, Minecraft, Fallout e Diablo, bem como arquivos de configuração para a plataforma de jogos online Steam. Além do mais, TeslaCrypt também procura todos os arquivos relacionados ao imposto de renda, finanças pessoais, tais como software Quicken Intuit e iTunes. TeslaCrypt pode localizar arquivos em dispositivos e unidades conectadas e criptografar os demais - drives USB, processos de compartilhamento de arquivos de rede, pastas de armazenamento em nuvem, ou outros dispositivos de armazenamento conectados são vulneráveis a ataques.


    TeslaCrypt e CryptoLocker

    As atividades do TeslaCrypt são muito parecidas com as atividades do CryptoLocker em muitas vertentes, seguindo a fórmula de sucesso iniciada pelos criminosos responsáveis pelo CryptoLocker. O processo de resgate usa a criptografia de chave pública, que é onde estão disponíveis as chaves separadas para bloquear e desbloquear um arquivo. Além do mais, a chave pública pode ser dada a qualquer pessoa para criptografar arquivos, mas somente a chave privada pode decriptografá-los posteriormente. Dessa forma, TeslaCrypt gera um par de chaves públicas-privadas em seus próprios servidores, e envia apenas a chave pública para o malware em seu computador. Isso significa que o malware pode criptografar os seus dados, mas a chave necessária para decodificá-los nunca aparece no seu computador - nem no disco, e muito menos na memória.

    Nesse contexto, a pessoa precisa da chave privada, e para obtê-la, ela precisa pagar o resgate (o que nem sempre é promessa cumprida de que a chave para desbloqueio será disponibilizada). O cybercriminoso, em alguns casos, recebe o dinheiro do resgate e os arquivos continuam bloqueados. Além de tudo, existe um prazo definido para pagar o que eles podem, cronometrado severamente; depois disso, a chave privada é destruída e uma vez que ela se foi, nem a vítima e nem os criminosos terão a capacidade de decifrar seus arquivos.

    Da mesma forma que as versões recentes do CryptoWall e outros similares do CryptoLocker, TeslaCrypt exige que o pagamento seja feito em Bitcoins, ou por outros sistemas de pagamento eletrônico irreversíveis e em grande parte anônimos, como Ukash. A tela de aviso fornece um link para uma página na rede Tor, que oferece mais instruções sobre como realizar o pagamento. Ressaltando que TeslaCrypt atualmente cobra 1,5 Bitcoins (cerca de US$ 420), mas se você pagar em Ukash o preço sobe para £400 (cerca de US $ 600).

    As vítimas são incentivadas a fazer upload de um arquivo e obtê-lo decriptografado "de graça" - uma espécie de prova de conceito que destina-se a convencê-las de que os cybercriminosos realmente tem a chave privada, e vão acompanhar o processo de pagamento até que o mesmo seja finalizado. Vale observar o seguinte: estes "decryptions" de uma só vez são feitos nos servidores do TeslaCrypt, então não há nenhuma chance de interceptar a chave privada em trânsito: assim, os criminosos não ficarão alheios ao processo até que obtenham o dinheiro da vítima. E caso a pessoa tenha alguma dúvida sobre como fazer o seu pagamento, TeslaCrypt prestativamente oferece um serviço de "suporte", a partir do qual ela poderá enviar uma mensagem para os bandidos. A partir do momento em que TeslaCrypt é executado, ele cria um atalho na área de trabalho chamado CryptoLocker.lnk. Mas, apesar dos autores do TeslaCrypt poderem usar o CryptoLocker (há essa possibilidade), é onde a similaridade termina: o novo malware não usa o mesmo código inicial que o CryptoLocker.


    Alta Rentabilidade

    O Departamento de Justiça dos EUA estima que os responsáveis pelo CryptoLocker conseguiram alavancar 27.000 mil dólares em apenas dois meses, depois que o ransomware começou a se espalhar. Isso foi em setembro de 2013. Devido a tantas vítimas de ransomware provarem que estavam dispostas a pagar para que seus arquivos fossem desbloqueados, um estudo descobriu que 40% das vítimas CryptoLocker pagou o resgate, e assim, é possível afirmar que o ransomware continua a proliferar fortemente. Para aquelas pessoas que foram vítimas do ransomware TeslaCrypt, a parte boa é que os pesquisadores da Cisco criaram um meio para que elas possam decriptografar os arquivos e não efetuar o pagamento referente ao pedido de resgate. Como já foi mencionado em ocasiões anteriores, tendo sido descoberto e analisado no mês de março de 2015, a paraga TeslaCrypt se assemelha muito ao ransomware Cryptolocker, mas, além de criptografar a variedade usual de tipos de arquivos (documentos, imagens, vídeos, arquivos de banco de dados, etc.), ele também atinge os tipos de arquivos associados com vídeos, games e software relacionados a games.

    Nesses casos, o processo de criptografia foi realizado a partir da chave de recuperação com criptografia de curva elíptica, e enviada para o servidor C & C. De acordo com o pesquisador Andrea Allievi, foi desenvolvido um trabalho no algoritmo usado para fazer isso, mas não há conhecimento algum de que haverá capacidade de produzir um algoritmo de trabalho que possua habilidade para fazer o oposto, em um curto espaço de tempo. Além de tudo, o processo de decodificação do TeslaCrypt é feito por um utilitário de linha de comando, mas ele é fácil de usar e os pesquisadores incluíram instruções sobre seu uso. O utilitário de decodificação é uma ferramenta de testes que não é oficialmente suportada e assim, o usuário assume toda e qualquer responsabilidade em relação ao uso da ferramenta.


    Ameaças de Ransomware Estão Crescendo

    As práticas de ransomware não são realmente novas - as formas mais antigas de ransomware trancavam tela do computador das pessoas, ao invés de trancar seus arquivos, e isso surgiu há muitos anos. Mas ransomware-encrypting file, como é o caso do TeslaCrypt, tornou-se um modelo de negócio muito bem sucedido para os cybercriminosos, o que torna provável que nós estaremos vendo muitas "novas e melhoradas" variantes dessa praga. Embora os cybercriminosos tenham desenvolvido muitos esquemas para ganhar dinheiro, desde o envio de spam para roubar senhas e informações bancárias, as práticas de ransomware oferecem uma forma de lucratividade fácil. Diante do que foi explanado sobre o ransomware, é preciso ficar sempre esperto: TeslaCrypt chega via spam, ou em anexos de e-mail maliciosos, e através de links para sites maliciosos induzindo suas possíveis vítimas a fazer o download do ransomware. Sabendo disso, as pessoas devem proteger os seus computadores com anti-spam e software de filtragem, que pode ajudar a impedir que as mensagens de ransomware chegue até elas. Antes que o ransomware possa colocar em prática o seu trabalho sujo, ele deve entrar em contato com um servidor de comando e controle para gerar o par de chaves de criptografia público-privada. Firewalls de próxima geração e software anti-malware que pode detectar tráfego suspeito para o servidor de comando e controle e podem coibir a ação do malware quando ele se conecta a servidores dos atacantes. Portanto, se você foi vítima de ransomware e não quer pagar o resgate que os cybercriminosos pedem, não há muito que você possa fazer se você não tiver backups - a criptografia RSA usado pelo ransomware moderno é forte demais para ser quebrada. Então, é importante não esquecer que é sempre uma boa idéia fazer backup de seus arquivos importantes.


    Saiba Mais:

    [1] Malware News - Net Security http://www.net-security.org/malware_news.php?id=3026

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L