De acordo com a equipe da Bidefender, o que chamou a atenção de todos foi o fato de que a ferramenta de decodificação não estava trabalhando em casos particulares. Após investigação, todos ficaram surpresos ao descobrir que algumas vítimas foram infectadas mais de uma vez. Isso significa que alguns arquivos foram criptografados usando uma chave, e outros usando um outro conjunto de chaves. No entanto, ao fazê-lo, a condição gerada fez com que alguns arquivos fiquem car irreparavelmente danificados (o seu conteúdo será truncado para zero). E, em alguns casos, até mesmo as notificações de resgate ficaram criptografadas.
Onipresença de Ransomware em Sistemas Windows e Investimento Inicial em Sistemas Linux
Importante salientar que trojans ransomware que criptografam arquivos são quase onipresente no Windows, e foi só uma questão de tempo até o advento desse tipo de praga chegasse até a segmentação Linux. Apelidado Linux.Encoder.1, esta primeira amostra de ransomware Linux é extremamente similar em comportamento de outras pragas como o perigoso CryptoWall que já tem a sua versão 4.0 (nefasta e que vem preocupando muitos usuários e principalmente profissionais de segurança), TorLocker e outras famílias de ransomware notórias voltadas para atacar o sistema Windows.
Modo de Funcionamento do Crypto Ransomware para Linux
Linux.Encoder.1 é executado no sistema Linux da vítima, após atacantes remotos aproveitarem uma falha no aplicativo do sistema de gerenciamento de conteúdo popular Magento. Uma vez executado, o Trojan procura diretórios /home/root and /var/lib/mysql e começa a criptografar seus conteúdos. Assim como os tipos de ransomware voltados para o Windows, ele criptografa o conteúdo desses arquivos usando AES (um algoritmo de criptografia de chave simétrica), que fornece força e velocidade suficiente, mantendo o uso de recursos do sistema de forma minimalista. A chave simétrica é então criptografada com um algoritmo de criptografia assimétrica (RSA), e é anexada ao processo, juntamente com o vetor de inicialização utilizado pela AES.
Ao longo de 2015, os cyripto-ransomware usaram algoritmos de criptografia misturadas, para manter informações valiosas em seu poder. Para criptografar de maneira rápida e eficazmente grandes quantidades de dados, os trojans criyto-ransomware contam com o Advanced Encryption Standard (AES para o short) - um algoritmo de criptografia que usa uma chave simétrica (a mesma chave tanto para criptografia quanto para a decriptografia).
Para evitar a interceptação da chave de criptografia devido a ele ser enviado a partir do servidor de comando e controle, os operadores do crypto-ransomware geralmente complementaram AES com RSA (um algoritmo de criptografia de chave assimétrica). RSA gera um par de chaves público-privadas complementares - a chave pública é usada para criptografia e a privada para a decodificação. Estas chaves são normalmente geradas no servidor dos cybercriminosos, e somente a chave pública é enviada para o computador da vítima. Além do mais, a chave pública só é utilizada para criptografar uma pequena, porém crítica, amostra de informação: a chave de criptografia usada pelo algoritmo AES, que é gerado localmente.
Saiba Mais:
[1] Bidefender Labs http://labs.bitdefender.com/2015/11/...ncryption-key/