Os troianos que fazem a encriptação dos ficheiros dos utilizadores e tentam extorquir dinheiro para que seja possível a sua recuperação, não é algo propriamente novo. Na realidade já circulam na Internet há muitos anos. Estes “FileCoders” como lhes chamamos, são uma categoria muito activa de ransomware, sendo que a outra consiste no lockscreen – uma ameaça que bloqueia o ecrã do utilizador e mostra uma mensagem que parece partir de uma autoridade e que exige um pagamento para devolver ao utilizador o controlo sob o seu próprio computador.
A razao de estarmos a abordar este assunto no nosso blog prende-se com o facto de termos notado um aumento significativo na utilização do Filecoder nos últimos meses, sendo que nas próximas linhas iremos dar resposta a algumas questões.
A ESET detecta esta categoria de malware como Win32/Filecoder, Win32/Gpcode, sendo que em alguns casos pode ter outros nomes.
O sistema de telemetria ESET LiveGrid® mostra que as detecções semanais do Win32/Filecoder subiram mais de 200% desde Julho de 2013.
O país mais afectado por esta família de malware é a Russia, embora as campanhas estejam activas em diferentes partes do mundo.
Vectores de Infecção
À semelhança do que acontece com outras famílias de troianos, os cibercriminosos que apostam no ransomware Filecoder, experimentam diferentes métodos de introduzirem esta ameaça no computador das vítimas:
- Downloads a partir de sites contaminados com malware
- Anexos de e-mail comprometidos
- Instalação antravés de outro troiano ou backdoor (veja o primeiro exemplo no cenário que apresentamos abaixo)
- Instalação manual feita pelo atacante através de uma infiltração por RDP (veja o segundo exemplo no cenário que apresentamos abaixo).
- Outros vectores de infecção
Num dos cenários de infecção, vimos o Win32/Filecoder.Q (e mais tarde os Win32/Filecoder.AA e Win32/Filecoder.W) a espalharem-se por backdoors, como o Poison-Ivy R.A.T. Neste cenário, as vítimas eram enviadas para a backdoor Poison-Ivy através de um email e caso fossem levadas a executarem malware, seria contactado o servidor C&C, aguardando posteriormente pelos comandos. O atacante iria enviar o troiano para a máquina infectada, que não seria guardado como um ficheiro no disco rígido, sendo apenas executado na memória.
Vimos também outros casos, em que o atacante conseguiu instalar o ramsomware Filecoder manualmente nos sistemas através de credenciais RDP comprometidas. Infelizmente, não possuímos informações suficientes acerca da forma como o problema se deu – portas RDP expostas, infecção existente com um keylogger ou ataque bruteforce. O que é importante salientar é que no caso disto acontecer, o atacante ganha acesso total ao computador infectado como se estivesse sentado na secretária, podendo desactivar qualquer protecção antivírus e fazer o que lhe apetecer, incluindo a instalação de malware. Em alguns casos a instalação manual também é necessária devido ao facto de algumas variantes requererem a interacção do utilizador, por exemplo, para definir a palavra-passe de encriptação.
Técnicas de Encriptação
Como mencionado na introdução, este tipo de ransomware é mais perigoso do que a categoria que bloqueia o ecrã e emite avisos que parecem partir da polícia, já que também encripta os ficheiros da vítima – normalmente imagens, documentos, música, entre outros. Uma grande variedade de técnicas e níveis de sofisticação tem sido observada em diferentes variantes ao longo do tempo:
A encriptação pode ser implementada no código presente no troiano, ou utilizando ferramentas legítimas de terceiros como o LockDir, WinRAR, etc.
Algumas variantes encriptam todo o ficheiro, outras apenas partes.
Vários métodos têm sido usados por estas ameaças para eliminarem os ficheiros originais: em alguns casos, o ficheiro limpo é apagado e pode ser recuperado utilizando ferramentas específicas para o efeito, outras vezes é eliminado com segurança ou reescrito.
Alguns exemplos activos
A família Filecoder tem-se espalhado por RDP e tem melhorado as suas tácticas ao longo do tempo, utilizando scareware e apresentando-se como protecção anti pornografia infantil ou utilizando nomes de agências governamentais que na realidade não existem.
A variante detectada pela ESET como Win32/Filecoder.NAC e que já tem estado a circular pela Internet há já algum tempo está ainda activo in the wild.
Este troiano também se distingue dos outros pela quantidade de dinheiro que pede. Enquanto outras amostras deste malware utilizam somas a rondar os 100 ou 200 Euros, o Win32/Filecoder.NAC tenta extorquir cerca de 3000 Euros. Este valor alto está relacionado com o facto desta ameaça apontar mais a empresas.
Outra variante recente, o Win32/Filecoder.BQ, tenta colocar a vítima sob pressão ao mostrar um contador que revela o tempo que falta até a chave de encriptação ser totalmente apagada. Curiosamente, as vítimas são aconselhadas a pagarem o “resgate” em Bitcoins, para além dos métodos mais comuns como o MoneyPak ou o Ukash.
Algumas variantes do Filecoder são inclusivamente desenvolvidas utilizando uma aplicação especial, similar aos criadores de troianos bancários vendidos nos fóruns underground. Esta aplicação permite aos cibercriminosos escolherem os tipos de ficheiros a encriptar, o método de encriptação desejado, a mensagem a apresentar, entre outras opções.
Em alguns casos quando o Filecoder utiliza uma chave fraca ou uma má implementação, ou guarda a chave de encriptação em algum local, pode ser possível desencriptar os ficheiros. Infelizmente, na maioria dos caos, os cibercriminosos já aprenderam a evitar estes erros.
Como estar mais seguro
Se for necessário o acesso remoto a um computador, devem ser tomadas medidas de segurança eficazes. O RDP não deverá estar aberto publicamente à Internet e deverá ser utilizada uma VPN com dois factores de autenticação.
Será também uma boa ideia proteger o seu software anti-malware para prevenir que seja modificado pelo atacante. Mantenha também a sua solução de segurança actualizada.
