Ransomware, tudo sobre a mais temida ameaça digital (Parte 2)

Ransomware, tudo sobre a mais temida ameaça digital (Parte 2)

No post anterior tratamos do funcionamento e colocamos o panorama atual da ameaça, se você não leu confira aqui.

Funcionamento

Há duas classificações para a programação dessas ameaças, pré-definida e polimórfica. A primeira tem uma estrutura de construção permanente, não sofre alteração ou mutação e é facilmente detectável pelos softwares antivírus do mercado. Já a segunda é onde a grande maioria se encaixa, ameças desse tipo conseguem alterar a maneira que infectam a máquina, a metodologia de criptografia dos arquivos, é como se o vírus estivesse sempre em mutação, isso dificulta demais a ação de qualquer antivírus.

A primeira ação durante a infecção é desabilitar o antivírus para então iniciar a criptografia dos arquivos, o algoritmo utilizado é o AES, onde no tipo polimórfico, a chave é desconhecida no momento da infecção, sendo criada no próprio equipamento, o que torna impossível a reversão do processo de criptografia para qualquer empresa ou profissional de TI.

O resgate, liberação da chave criptográfica que “sequestra” os arquivos, é praticamente 100% em Bitcoin (entenda o que é Bitcoin), convertido para valores em reais (R$), costumam variar entre R$1.000,00 e R$5.000,00, transações nessa moeda são impossíveis de rastrear, por isso o seu uso. Normalmente a organização responsável pelo vírus dá um prazo para pagamento e então começa a aumentar o valor do resgate, há casos em que os arquivos começam a ser apagados caso o resgate não seja pago.

Tipos de ransomware

Cryptolocker: foi um dos primeiros, ficou mais conhecido em 2013, seu processo de infecção foi amplamente copiado servindo de modelo para as próximas variações.

Cerber: bloqueia arquivos como fotos, documentos e vídeos, adiciona uma extensão .cerber no final, normalmente é disseminado através de SPAM.

CryptoWall: foi o primeiro a utilizar o método de criptografia RSA, até hoje não há relatos de sucesso em descriptografar arquivos infectados por ele.

Crysis: é capaz de criptografar além dos arquivos locais (dentro do equipamento), arquivos e pastas em locais de rede como servidores, outros computadores ou storages NAS, muitos relatos desse tipo nas últimas semanas, inclusive no Brasil.

Jigsaw: após criptografar os arquivos começa a excluir arquivos caso o resgate não seja pago, pouco conhecido no Brasil.

KeRanger: projetado exclusivamente para Mac OS X, atua como os outros porém focados no sistema Apple.

LeChiffre: pode ser controlado e executado manualmente, há casos de colaboradores internos utilizarem esse tipo afim de afetar a empresa.

Locky: através de uma fatura eletrônica falsa, ele habilita macros do Office e então começa a criptografar arquivos, já utiliza o fortíssimo padrão AES.

TeslaCrypt: também utiliza criptografia AES e explora uma vulnerabilidade de programas Adobe.

TorrentLocker: a novidade é que antes de criptografar os arquivos, esse tipo de infecção coleta os contatos de e-mail do usuário enviando para eles o vírus também, não há ligação conhecida com o método de compartilhamento de arquivos Torrent.

Confira na sequência a última parte sobre esse assunto, Ransomware, tudo sobre a mais temida ameaça digital (Parte 3).

Atualizado em 30/09/2016 às 09:43.