Nesse contexto de propagação do ransomware, é interessante notar que os criminosos por trás dessa variante pedem uma pequena quantia em dinheiro (a quantia é pequena quando comparada com o montante solicitado em situações anteriores). Outro elemento interessante a ser observado nesta situação, é que cada uma das variantes entregues exibe um endereço Bitcoin diferente para cada host que infectou. A taxa de detecção AV inicial era muito baixa e isso preocupava os profissionais de segurança. Mas agora, a maioria dos mecanismos antivírus usados pelo VirusTotal conseguiu detectar este ransomware "sem nome".
AlphaCrypt e Métodos de Infecção
AlphaCrypt é uma praga, que vem sob forma de infecção por práticas de ransomware e que se infiltra nos computadores do utilizador usando mensagens de e-mail ou através do Angler Exploit Kit (Flash exploit - CVE-2015-0311). Este malware foi previamente conhecido como TeslaCrypt. Após a sua infiltração bem sucedida, este malware começa a encriptar arquivos encontrados no computador da vítima, com variadas extensões (por exemplo: .wma, .avi, .wmv, .zip, docx, .doc, .ppt, .lvl, .snx, .cfr, .ff e muitos outros - 185 tipos de arquivos no total) usando o algoritmo de encriptação AES CBC 256-bit. Tendo muitas semelhanças com o seu antecessor, AlphaCrypt tem como alvo principalmente alguns games. Eis aqui algum exemplo dos jogos de video cujos ficheiros (jogos guardados e chaves de ativação Steam) são atingidos por este ransomware: World of Warcraft, League of Legends, World of Tanks, Call of Duty e muitos outros. Após um processo de criptografia bem sucedido, AlphaCrypt modifica o ambiente de trabalho dos utilizadores para HELP_TO_SAVE_FILES.bmp e abre o ficheiro HELP_TO_SAVE_FILES.txt que contém instruções sobre como desencriptar os ficheiros comprometidos.No momento da escrita deste artigo, os criminosos virtuais estavam solicitando 0.7 BTC (Bitcoins) para decriptografar os arquivos. Lembrando que AlphaCrypt adiciona a extensão .ezz para todos os arquivos que foram criptografados. Para recuperar o controle desses arquivos comprometidos, os cybercriminosos induzem as suas vítimas a visitar um website que passa pela rede TOR e pagar um resgaste usando Bitcoins. A rede TOR assegura aos elementos por trás das práticas de ransomware que as suas identidades criminais e posições permanecerão anônimas. As infecções por ransomware tais como as desencadeadas por AlphaCrypt (includindo Crypt0L0cker, CryptoWall, e CTB-Locker) em alguns casos mantem cópias de segurança regulares dos dados armazenados. Além disso, pagar o resgate, conforme exigido por este ransomware, é o equivalente a enviar o seu dinheiro para os criminosos virtuais - o que fortalece o modelo de negócio malicioso que eles praticam e não há nenhuma garantia de que os seus arquivos sejam decriptografados. Para evitar a infecção do computador com infecções ransomware como esta, tenha cuidado ao abrir mensagens de e-mail, uma vez que os criminosos cibernéticos usam vários títulos cativantes para enganar os utilizadores de computador a abrir anexos de e-mail infectados.
Variações do Ransomware
O AlphaCrypt tem origem no mesmo grupo das infeções de ransomware como TeslaCrypt Ransomware, Cryptolocker, Coin Locker, ZeroLocker e muitas outras. De fato, o AlphaCrypt é uma cópia do TeslaCrypt Ransomware, por isso tudo aquilo que tenha acontecido com a infeção previamente publicada, irá também acontecer no AlphaCrypt. A questão principal é que o programa torna os seus arquivos "reféns" de forma a tentar tirar dinheiro do utilizador. Mas você não deverá ceder a estas ameaças, porque elas não levarão a lugar nenhum. Mesmo que você pague o resgate, você não irá receber a chave de decodificação que lhe permite decodificar os arquivos. Assim sendo, você deverá concentrar-se em remover o Alpha Crypt do seu sistema. Habitualmente, sabemos que toda vez que os programas de ransomware entram nos computadores, eles bloqueiam o ambiente de trabalho e exibem uma notificação que afirma que a infeção foi realizada e os utilizadores têm um determinado período de tempo para pagar o resgate. No entanto, esse não é o caso do AlphaCrypt. Muitas vezes, a janela principal de notificação não abre e o programa abre um arquivo de texto através do Bloco de Notas, que contém as instruções necessárias, dizendo-lhe o que deverá fazer para decodificar os seus dados. É por esse motivo que os especialistas em segurança da informação enfatizam sempre a importância de manter uma cópia de segurança dos seus arquivos em um disco rígido externo ou num disco virtual em cloud. Por muitas vezes, é possível recuperar os arquivos com uma ferramenta de descodificação que poderá ser baixada via Web mas se você não tem a certeza sobre o que deverá fazer, o melhor é deixar a situação entregue a profissionais.
Por causa disso, o usuário deverá adquirir uma ferramenta legítima anti-malware que irá remover o AlphaCrypt e outras ameaças perigosas do seu computador. É muito provável que você tenha muitos Trojans e outros programas maliciosos no seu sistema, porque o AlphaCrypt está sempre acompanhado por outras infeções. Assim que o seu computador estiver limpo, certifique-se de que não vá visitar outros sites duvidosos para que o seu sistema não seja infectado novamente por outras pragas dentre tantas existentes no mundo virtual.
CTB-Locker
O CTB-Locker é uma infecção perigosa causada também por práticas de ransomware, que criptografa os arquivos em seu computador e exibe um aviso de resgate, de acordo com o qual o usuário do computador teria de pagar uma certa quantia em dinheiro, a fim de decifrar os arquivos. A infecção pelo ransomware CTB-Locker é baixada para o seu computador através de um trojan, que entra em seu computador quando você navega por sites de conteúdo adulto ou sites de compartilhamento de arquivos de vídeo e sites inseguros. Além disso, o trojan é instalado como um arquivo de nome aleatório, e cria um processo chamado Adobe Flash Player 10.3 r183. Assim que o CTB-Locker tiver sido baixado, vários arquivos, incluindo .doc, .jpg, .mp4, .db, .cer, pem, e muitos outros serão criptografados pela infecção por ransomware. A infecção cria três arquivos, que incluem AllFilesAreLocked 1716900.bmp, DecryptAllFiles 1716900.txt e sunlrad.html. Ressaltando que é preciso saber que os números nos nomes dos arquivos variam em diferentes computadores. Esses arquivos contêm as instruções que deveriam ser seguidas pelo usuário do computador que tenham sido vítima dessa infecção.
Compra de Bitcoins, Pagamento de Resgate e Dúvida Quanto à Decriptografia dos Arquivos
Conforme consta no alerta, o usuário do computador vitimizado deve comprar bitcoins, no valor de aproximadamente USD 24, e fazer uma transação financeira online. Para pagar o resgate aos cybercriminosos, o usuário é obrigado a baixar o navegador de Internet Tor, para assegurar o anonimato. Durante a execução do CTB-Locker, o arquivo exeplorer.exe, que é responsável pela interface do seu sistema operacional, é apagado, resultando em mudanças no plano de fundo do seu desktop. Ao invés de papel de parede e Barra de tarefas, tudo o que o usuário vai ver é uma tela preta com um aviso dizendo que você tem 72 horas para pagar o resgate. A fim de restaurar os ícones da área de trabalho e a barra de tarefas, você tem que reiniciar o computador. Entretanto, é preciso ter em mente que os arquivos irão permanecer criptografados.
Sendo assim, logo depois de reiniciar o computador, você deve baixar e executar uma ferramenta de segurança poderosa a fim de se livrar do trojan responsável pela instalação do CTB-Locker. Os especialistas em segurança sempre recomendam que os usuários usem o SpyHunter, porque este programa de segurança em tempo real pode remover a infecção e proteger o seu sistema contra várias ameaças de computador baseadas na Internet, incluindo outras infecções de ransomware, trojans, sequestradores de navegador e adwares. No que diz respeito a recuperação de seus arquivos, é importante destacar mais uma vez, que você deve fazer backup de seus dados com certa regularidade, porque é impossível decriptografar os arquivos sem pagar o resgate exigido. Em virtude de tudo isso, é recomendável que você não faça o pagamento da chamado taxa de resgate, pois não há garantia alguma de que os seus dados serão restaurados. Além disso, você deve sempre manter o computador protegido contra malwares para que infecções como o CTB-Locker não ataquem o seu computador.
Saiba Mais:
[1] ISC SANS https://isc.sans.edu/diary/Angler+ex...nsomware/19681