Foi descoberto recentemente um novo ransomware que se distingue dos outros, por se fazer passar pelo browser Chrome. As soluções de segurança da ESET detetam esta ameaça como Win32 / Filecoder.NFR.

Esta nova ameaça funciona sob a forma de “ransomware as a Service” (RAAS) a partir de um servidor oculto na rede Tor. Aí, os cibercriminosos podem escolher o malware que irá infetar a vítima, quantas bitcoins serão pedidas pelo resgate e que mensagem ameaçadora irá surgir no ecrã. Podem ainda obter estatísticas acerca do numero de utilizadores infetados e de quantos pagaram.

Assim que o Ransom32 se instala no sistema e é executado, descomprime todos os ficheiros maliciosos numa pasta temporária e assegura que eles são executados em cada arranque. Embora esta ameaça tente passar despercebida utilizando a imagem do browser da Google, o Chrome, através das propriedades é possível verificar-se que o ficheiro não está assinado digitalmente e que as informações alusivas à versão foram apagadas.

Matias Porolli, analista de malware da ESET América Latina, explica como esta ameaça funciona: “assim que o utilizador executa a aplicação, surgem as acções comuns aos ransomware, como a encriptação de ficheiros, os contactos com o servidor e o aparecimento de mensagens que exigem um resgate. Os ficheiros marcados para encriptação são diversos e contêm as TXT, DOC, JPG, GIF, AVI, MOV e MP4.”

Eis os métodos mais utilizados pelos cibercriminosos para colocarem esta ameaça nos computadores das vítimas:

  • Sites maliciosos
  • downloads
  • Anexos de email inectados
  • Troianos ou Backdoors

Esta ameaça encripta os ficheiros com uma chave AES de 128bit, sendo que é criada uma chave para cada ficheiro.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*