O anúncio reconhece os vários métodos de entrega de ransomware: propagandas infectadas, e-mails ou anexos comprometidos, ou visitas a um site comprometido (as vítimas são redirecionadas para um site que oferece exploits e, em última análise, malware). Muitas vezes, o ransomware é entregue em conjunto com outros malwares, ou é baixado por algum malware downloader que já comprometeu o computador das vítimas. Além disso, os policiais federais encorajaram os usuários a atualizar regularmente o seu software antivírus e utilizar suas soluções de firewall para permitir os bloqueadores de pop-up e evitar clicar em e-mails ou anexos que desconhecidos ou suspeitos, e visitar sites que possam denotar algum tipo de atividade maliciosa. Porém, sendo ainda mais importante em meio a este cenário, eles também aconselham os usuários a realizar backup regularmente. Se os usuários fizerem backup, verificarem e mantiverem cópias offline dos seus dados pessoais e de aplicativos, os golpes de ransomware terão um impacto limitado sobre eles. Se esses usuários ao invés de se preocuparem em pagar um resgate para obter seus dados de volta, podem simplesmente ter o seu sistema limpo e, em seguida, recarregar seus arquivos.
Danos Trazidos pelo Cryptowall
O ransomware CryptoWall é uma aplicação "estelionatária", que afeta usuários do Windows. Ele funciona do mesmo modo que o CryptoDefence, um outro tipo de ransomware tão nefasto quanto ele. Depois de ingressar no sistema de suas vítimas, ele codifica com uma senha todos os seus arquivos e não permite que as pessoas os acesse mais. Para decodificá-los e poder utilizá-los de volta, será exigido um pagamento no valor de US$ 500 em bitcoins. Em face dessa ameaça, é necessário ser cada vez mais cauteloso. O ransomware CryptoWall foi desenvolvido por cybercriminosos com o único objetivo de roubar o seu dinheiro. Portanto, a pessoa jamais deve efetuar qualquer pagamento aos golpistas eletrônicos. Sobretudo porque não há garantias que seus dados serão devolvidos.
Modo de Operação
O vírus CryptoWall pode ingressar no sistema de suas vítimas, quando estas fizerem uma visita a algumas páginas mal intencionadas, ou derem um clique em uma mensagem falsa que finja estar ligada a uma atualização do Java, do Flash Player, dentre outros. Depois de ingressar no sistema esse programa faz de conta que está fazendo uma varredura no mesmo, porém, e assim, estará é codificando os arquivos. Depois disso ele cria arquivos (DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url) em cada uma das pastas onde estavam seus arquivos, com instruções para pagar o resgate. Essas instruções explicam como acessar o CryptoWall Decrypt Service e fazer o pagamento do resgate. Na sequência, é solicitado para que o dinheiro seja transferido através do Tor. Como todos sabem, este tipo de navegador é também utilizado por fraudadores e demais cybercriminosos da Internet, para que eles possam manter suas identidades em sigilo. O vírus CryptoWall utiliza a codificação RSA-2048 que, de fato, é muito difícil de decodificar. Mas, caso você não queira perder qualquer tipo de dados com esse tipo de problema, você deve precaver-se contra esse tipo de infecções. Outra precaução necessária é fazer backup (cópias de segurança) dos seus arquivos, de modo que você possa resgatá-los a qualquer momento em caso de haver maiores problemas.
Ameaças "Low-Level" Abrem Porta para Infecções Maiores
Um dispositivo "hijacked" com a intenção de disseminar a chamada "fraude do clique" pode tornar-se um canal para ocorrências de malware mais grave, como as práticas de ransomware. De acordo com um estudo da especialista Damballa, foi citado um exemplo de como um dispositivo comprometido, originalmente explorado para efeitos aparentemente inócuos da fraude do clique - que é um esquema para fraudar anunciantes - tornou-se parte de uma cadeia de infecções, o que levou um período de duas horas para a introdução do famoso e perigoso ransomware CryptoWall. A análise realizada, destaca não só como uma ameaça de baixo nível pode abrir a porta para infecções graves e mais prejudiciais, mas também enfatiza a importância da rápida identificação de atividade maliciosa, a fim de minimizar a probabilidade de infecção. Os resultados vêm de uma análise a partir de RuthlessTreeMafia - um sistema de fraude de clique com o uso de malware, que foi introduzida pela botnet "Asprox". Neste incidência, os dispositivos infectados por botnets foram usados para gerar cliques falsos em anúncios, uma prática que engana os anunciantes e custa às empresas alguns 6,3 bilhões dólares por ano. Uma vez que o dispositivo estava sob o comando do botnet, os operadores de RuthlessTreeMafia foram capazes de vender o acesso ao dispositivo comprometido com outros desenvolvedores de ameaças, que usaram downloaders para entregar os trojans "Rerdom" e "Rovnix", gerando receita adicional para os operadores criminais.
Como a cadeia de infecção da fraude do clique continuou, o dispositivo foi infectado com o ransomware CryptoWall, que criptografa os arquivos no sistema host em segundos, tornando-o inacessível para o usuário. A atividade de fraude do clique continua como o dispositivo permaneceu sob controle criminal, e o atacante continua a ganhar dinheiro com o controle do dispositivo comprometido. Sendo assim, dentro de duas horas, a infecção inicial a partir desses cliques fraudulentos tinha escalado para submeter o dispositivo comprometido para mais três infecções da tal "fraude do clique", bem como a própria CryptoWall. De acordo com o executivo Stephen Newman, CTO Damballa, como este relatório destaca, o malware avançado pode rapidamente sofrer mutação e que não é apenas o vetor de infecção inicial o que importa, e sim, a compreensão da cadeia de atividade ao longo do tempo. Os meandros de infecções avançadas significam que uma ameaça de risco aparentemente baixo - neste caso, a fraude do clique - pode servir como ponto de entrada para as ameaças mais graves.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3062