O ransomware, como o TorrentLocker, que mereceu destaque no blog da ESET, tem vindo a surgir com mais frequência e ainda em mais zonas do globo.
Recentemente, começámos a receber novos alertas acerca de campanhas de malware que se estão a espalhar em diversos países, nomeadamente na América Latina e Europa de Leste. Um email falso que supostamente contém um Fax, não é mais do que uma campanha que tenta espalhar código malicioso que tem como principal objectivo encriptar os ficheiros das vítimas de modo a exigir um resgate em bitcoins.
Neste artigo vamos verificar como estas campanhas espalham uma nova variante do Ransomware CTB-Locker, causando dores de cabeça a milhares de utilizadores. Polónia, República Checa e México são até agora os países mais afectados, como podemos verificar no gráfico representado abaixo.
Este ataque começa com um email falso que chega à caixa de correio do utilizador. O assunto do e-mail quer fazer o utilizador acreditar que o anexo é um fax, um ficheiro falso detectado pela ESET como Win32/TrojanDownloader.Elenoocka.A. Se abrir este ficheiro e o seu antivírus não o proteger uma variante do Win32/FileCoder.DA será descarregada para o seu sistema, encrostando todos os ficheiros. Se não pagar o resgate em bitcoins irá perder os seus ficheiros para sempre.
Algumas variantes do Win32/TrojanDownloader.Elenoocka.A ligam-se a um endereço remoto para descarregarem malware detectado pela ESET como Win32/FileCoder.DA e conhecido como CTB‑locker. Esta família de malware encripta todos os ficheiros de forma similar ao CryptoLocker, sendo que a diferença principal reside no facto desta família de malware utilizar outro algoritmo de encriptação, do qual o nome deriva.
O resultado é similar ao do CryptoLocker ou do TorrentLocker, em que ficheiros com extensões como mp4, .pem, .jpg, .doc, .cer, .db etc. são encrostados com uma chave, o que torna virtualmente impossível a recuperação. Assim que o malware acaba de encriptar as informações dos utilizadores, revela um aviso e muda o papel de parede do ambiente de trabalho como se pode observar em baixo.
A mensagem é apresentada em Alemão, Italiano e Inglês de modo que se adapte a diferentes regiões. Porém e apesar do idioma espanhol não estar presente, temos observado esta infecção activa em muitos países onde se fala espanhol.
Para tranquilizar os utilizadores acerca da possível recuperação dos ficheiros os cibercriminosos disponibilizam uma demonstração do funcionamento desta ameaça que pode ser vista na imagem abaixo:
Depois do utilizador visualizar a demonstração, o criminoso revela com o utilizador pode desencriptar os ficheiros e enviar as bitcoins (BTC). Até disponibilizam métodos de trocar as bitcoins caso a vítima não as possua:
Outra cacterística peculiar do CTB-Locker é esta: não só a mensagem é mostrada ao utilizador em diferentes idioma, mas também mostra o sistema monetário que se adequa à mesma. Se o utilizador quiser ver a mensagem em Inglês o preço é mostrado em dólares. Caso contrário, irá surgir em Euros. O preço do resgate é 8 bitcoints, ou seja, cerca de 1680 dólares.
De um ponto de vista técnico, o Win32 / TrojanDownloader.Elenoocka.A é uma ameaça simples. Existem diversas campanhas em curso, como as que mencionámos acima e descobrimos uma outra que que como anexo o ficheiro invoice_2015_01_20-15_33 .scr. Quando se executa abre um documento RTF no Word.
É verdade que a técnica de encriptação utilizada pelo CTB-Locker torna impossível a recuperação de ficheiros pelo payload analisado. Porém, existem algumas medidas de segurança que são recomendadas para utilizadores e empresas:
- Se tem uma solução de segurança para servidores de email, active a filtragem por extensão. Isto vai ajudá-lo a bloquear ficheiros maliciosos com extensões como a .scr, utilizada pelo Win32 / TrojanDownloader.Elenoocka.A.
- Evite abrir anexos nos emails de origem duvidosa e quando não identifica quem lhe enviou.
- Apague emails ou marque-os como spam para prevenir que outros utilizadores sejam infectados por estas ameaças.
- Mantenha as soluções de segurança actualizadas para detectar as últimas ameaças.
- Efectue actualizações de sistema com regularidade.