A infecção ocorre via e-mail de spam, que contém links condutores para sites maliciosos. Os usuários que acessam esses sites são direcionados com kits exploit, onde existem muitas vulnerabilidades nos navegadores que estes usam (principalmente em seus plugins), para instalar CryptMix. Uma vez que o ransomware atinge o computador da vítima, ele começa automaticamente o processo de criptografia. Além do mais, o ransomware é único porque ele procura e começa a criptografar um 862 tipos de arquivos diferentes. Dessa forma, a pessoa pode reconhecer as infecções causadas por CryptMix, pela extensão do arquivo .code que ele acrescenta no final de cada arquivo criptografado.
Usuários e Contatos com Ransomware
A experiência de usuários com ransomware, normalmente, é quando eles acessam um determinado site, e de forma acidental acabam fazendo download de um arquivo e o instalam. Muitas vezes, esses usuários nem percebem que fizeram isso. Por um tempo nada de extraordinário acontece, mas de modo repentino você recebe uma mensagem informando que seus arquivos foram encriptados por um trojan, e terá que pagar um resgate para desbloqueá-los. Depois do susto inicial, a pessoa tenta confirmar a história para ter certeza de que não é uma brincadeira: todos os arquivos estão bloqueados e ela não consegue acessá-los. Além disso, as pessoas todas que caem nesse golpe notam a existência de uma nova extensão, .crypt. Caso você se encontre nessa situação, tenha certeza que seu sistema foi infectado por um CryptXXX. Além de bloquear seus arquivos, o Trojan também rouba dados pessoais e bitcoins. No entanto, em meio a tudo isos existem boas notícias: existe uma ferramenta gratuita que pode salvar seu sistema.
Mas Afinal, o que é um CryptXXX?
No dia 15 de abril, um grupo de pesquisadores da Proofpoint descobriu a existência de mais um ransomware. Só que este da vez, utilizava o kit exploit Angler para infectar dispositivos que executavam o sistema Windows. Como os cybercriminosos não deram nome a sua criação, os pesquisadores começaram a chamá-lo de CryptXXX. O nome foi provavelmente escolhido pelo fato do malware adicionar a extensão .crypt aos arquivos bloqueados, e por XXX ser o segundo nome do Angler. O ransomware CryptXXX é uma praga, no mínimo, interessante. Os arquivos do computador e de qualquer mídia de armazenamento, são encriptados pouco depois da infecção. Os cybercriminosos utilizam esse espaço de tempo para confundir as vítimas e também para diminuírem as chances de identificação dos sites que propagam o malware. Ao finalizar o bloqueio, o trojan cria três arquivos: um de texto, uma imagem e uma página HTML. A imagem é colocada como papel de parede da área de trabalho (para garantir que a vítima entenda o que está acontecendo). A página na Web é aberta no navegador, enquanto o arquivo de texto é mantido no disco rígido. Ao que tudo indica, parece que no cenário da segurança da informação, no que diz respeito a essas pragas emergentes, 2016 será o "ano do ransomware", devido às várias espécies que vem surgindo somente neste primeiro semestre.
Em todo esse contexto, a vítima é informada que os arquivos foram encriptados com o auxílio de um RSA4096, tratando-se de um algoritmo forte; e os cybercriminosos exigem que sejam pagos 500 dólares em bitcoins pelo desbloqueio dos dados. Dessa maneira, o usuário precisa instalar o Tor e clicar no link do manual, que abre um site com instruções detalhadas e mostra o canal de pagamento. Tem até uma parte de "Perguntas Frequentes", de tão bem elaborado que é o trabalho feito pelo pessoal do submundo cybercriminoso. Além disso, o CryptXXX também reflete a ganância de seus criadores. E tem mais: não satisfeitos em bloquear seus arquivos, o trojan rouba bitcoins e qualquer outra informação que possa ser útil para os cybercriminosos, pois o objetivo é tirar o máximo de proveito que ele puder. O que mais incomoda vindo dessas pragas, no caso os ransomwares, são essas janelas que não podem ser desativadas e ficam piscando, impedindo o uso do navegador. A boa notícia é que desabilitá-las é bastante fácil, pois trata-se de um JavaScript simples.
Como Surge o Ransomware?
Ransomware é uma praga criada por scammers, que conhecem muito bem a área de computação. Ele pode entrar em seu computador ou notebook através de um anexo de e-mail ou através do seu navegador, se você tiver visitado um site que esteja infectado com este tipo de malware. Ele pode ainda acessar seu computador através da sua rede de Internet. É obvio quando um determinado dispositivo é infectado por um ransomware, provavelmente a pessoa não será capaz de acessar seu computador. Para removê-lo, é necessário utilizar a ferramenta de remoção de ransomware do seu software de antivírus, que pode fazer um scanner e retirar qualquer ameaça de ransomware que possa estar infiltrada em seu computador e você nem imagina. Em meio a esse cenário de ameaça, certifique-se de que todos os softwares que existem em seu computador estejam devidamente atualizados, incluindo o seu sistema operacional, o seu navegador e qualquer plug-in de barra de ferramenta que você utilizar. Essas informações e verificações podem parecer banais, mas ao contrário do que podemos pensar, são de extrema importância, ajudando no combate a esses elementos nocivos que insistem em assombrar o mundo da segurança da informação.
Os últimos três anos, foram os mais importantes para o ransomware em termos de ameaça, já que a partir do Cryptolocker, em 2013, o malware tornou-se uma espécie de "queridinho" entre os cybercriminosos e que exigia US$ 100 em pagamento, para que os arquivos cifrados fossem liberados. Já em 2016, especialistas como Andrew Hayter, da G Data Software Evangelis, consideram 2016 como o ano do ransonware (isso já havia sido mencionado anteriormente). Isso tudo porque as evoluções na formulação da ameaça, o anonimato proporcionado pela moeda Bitcoin e pelo navegador Tor, garantem ao invasor ainda mais liberdade para agir.
Saiba Mais:
[1] Softpedia News http://news.softpedia.com/news/new-c...y-503688.shtml