Em vez de simplesmente empregar truques para bloquear o PC, o crypto-ransomware passa a controlar os seus ficheiros (documentos, fotos, música, filmes, etc.) através de encriptação, com o objectivo de pedir um resgate por eles. Isto dificulta mais a remediação do que apenas remover a infecção maliciosa, já que os seus ficheiros necessitam de ser desencriptados.

O SophosLabs identificou outros exemplares de ransomware que empregam esta mesma técnica. Após a infecção, o malware pesquisa por tipos de ficheiros específicos (utilizando uma lista de mais de 110 extensões de ficheiros: .doc, .jpg, .pdf, etc), encriptando e renomeando os ficheiros entretanto ilegíveis com a extensão .BLOCKAGE. Em seguida é apresentada ao utilizador uma mensagem semelhante à seguinte:

Traduzindo:

Todos os seus ficheiros pessoais (fotos, documentos, bases de dados) foram encriptados por uma cifra muito robusta.

 

Poderá comprovar por si mesmo - basta observar os ficheiros em todas as suas pastas.

 

Não existe possibilidades de desencriptar estes ficheiros sem um programa de desencriptação especial.

Ninguém o poderá ajudar - nem tente encontrar outro método ou contar a alguém.

 

Podemos ajudá-lo a resolver esta questão: envie o seu pedido para este e-mail: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Anexe à mensagem a chave completa fornecida abaixo, presente neste ficheiro ('HOW TO DECRYPT FILES.TXT') que se encontra no seu ambiente de trabalho.

 

E lembre-se: quaisquer comentários negativos ou prejudiciais dirigidos a nós serão motivo para ignorar a sua mensagem e nada ocorrerá.

 

Apenas nós conseguiremos desencriptar os seus ficheiros!

À medida que os seus ficheiros são encriptados, o malware liga-se a um dos seus servidores de comando e controlo para transmitir uma cópia da chave.

A parte assustadora é que não estão a mentir quando dizem que apenas eles conseguirão desencriptar os seus ficheiros. De facto, o malware tira partido de algumas chaves criptográficas públicas que representam o mesmo processo de “sentido único” (assimétrico) de encriptação que lhe permite realizar compras e aceder ao banco online em segurança.

O malware gera uma chave de encriptação única de forma aleatória cada vez que infecta um computador, e que é utilizada durante a encriptação dos seus ficheiros (utilizando o algoritmo de criptografia AES-256 de “nível militar”). Em seguida encripta utilizando a sua chave pública.

O resultado é a chave única que é apresentada ao utilizador.

Infelizmente isto significa que apenas alguém com a chave privada destes cibercriminosos conseguirá desencriptar de modo a obter a chave utilizada para encriptar os seus ficheiros. Para testar e recuperar a chave privada exigida pela chave pública (RSA 1024bits), provavelmente gastaríamos milhões de euros em hardware de computação e demasiado tempo (é possível que não conseguíssemos demorar menos de 2 anos).

E se a criptografia utilizada neste caso para lhe vedar o acesso às suas fotos de férias em família/colecção de música retro/mensagens da sua namorada através de "rapto" é muito sofisticada, uma análise mais aprofundada do malware revela que não se trata de algo tão inteligente. De facto, atrevemo-nos a afirmar que as amostras observadas são trabalho de autores de malware amadores.

A maioria do código do malware não se encontra empacotado nem protegido como seria de esperar de qualquer malware sofisticado. Adicionalmente, existem diversas linhas de código únicas presentes que não servem qualquer propósito, em particular a expressão “Graciliraptor!” observada em capturas de algumas amostras.

Talvez se trate da persona online do autor, ou uma tag estilo graffiti da designação atribuída a um dinossauro terópodo do período Cretáceo, que significa “ladrão gracioso”. De qualquer forma, torna a detecção destes exemplares de malware muito mais simples!

Assim, a única parte realmente preocupante é que, se este é de facto o trabalho de um autor de malware "aprendiz", conseguiu tirar partido de forma inteligente de uma criptografia para criar o caos nos sistemas afectados.

Nem sequer necessitam de codificar estes algoritmos por si; basta utilizarem as bibliotecas criptográficas (Microsoft Cryptographic API ou equivalente) já presentes no seu computador!

Pagar pelo resgate não é recomendado, e não garante que venha a ter os seus ficheiros desencriptados. Na nossa opinião, isto apenas sublinha a importância de se ter um antivírus actualizado, e de fazer backups regulares de documentos importantes por salvaguarda.


Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.