O que o SophosLabs identificou

O SophosLabs recebeu um grande número de documentos manipulados através do sistema de envio de amostras da Sophos, provenientes de utilizadores com grandes esperanças em descobrirmos uma falha na encriptação do CryptoLocker, de modo a poderem recuperar os seus ficheiros novamente.

Até ao momento, não foi identificada nenhuma forma de reverter os efeitos provocados pela infeção: tudo aquilo que for encriptado por este malware, neste momento é considerado como destruído. Alegadamente, é possível receber a chave que permite a desencriptação através do pagamento de uma determinada quantia (geralmente 300$), no entanto este processo ainda não foi demonstrado e é muito provável que seja apenas mais uma fraude.

Nas palavras dos próprios autores deste malware:

A cópia única da chave privada, que permitirá desencriptar os ficheiros, encontra-se localizada num servidor secreto na Internet; o servidor destruirá a chave após o tempo indicado na janela de aviso. Após terminado, ninguém conseguirá nunca mais restaurar os ficheiros.

E é por isso que a BSPI e a Sophos pretendem alertar todos os utilizadores para os cuidados a terem para evitarem que, infelizmente como aconteceu já a inúmeras vítimas, os ficheiros se tornem completamente inutilizados.

*NOTA: Recordamos que a criptografia de chaves públicas, utiliza duas chaves distintas: uma pública que bloqueia o ficheiro, e uma privada que o desbloqueia. É possível partilhar uma chave pública de forma abrangente para que qualquer utilizador possa encriptar ficheiros por nós, mas apenas quem possuir a chave privada conseguirá desencriptá-los.

De que forma o malware infeta?

O SophosLabs reporta dois vetores de infeção principais: por anexos de e-mail e através de botnets. Os ataques por e-mail são relativamente simples de evitar: tome precauções com anexos inesperados, ou de remetentes desconhecidos.

A infeção através de uma botnet é diferente, pois os criminosos estão a aproveitar o facto de já se encontrar infetado com outro malware para o infetar novamente com a sua própria criação. Isso deve-se ao facto da maioria dos bots, ou zombies, uma vez ativos no computador, incluírem comandos de atualização que permite aos seus autores substituírem ou adicionarem malware já presente no PC.

O que fazer?

Por isso, a recomendação é: hoje, dedique-se a procurar e destruir qualquer malware já existente no seu computador. Faça um backup e realize uma análise aprofundada ao seu computador com uma solução antivírus de eficácia comprovada. A Sophos possui uma versão de testes, gratuita, válida por 30 dias dos seus produtos de segurança.

A prevenção é, neste caso ainda mais importante, melhor do que a cura. Não se esqueça também de realizar as atualizações de segurança para o seu sistema operativo e software em geral.

Note que qualquer serviço de alojamento na cloud que sincronize automaticamente, não representa um backup. Para estes serviços, um documento manipulado no seu PC pelo CryptoLocker é para todos os efeitos a mais recente versão, o que nesse caso se traduzirá na perda da versão do documento não afetado que se encontrava guardado na cloud.

Para mais informação, incluindo links para a base de dados de suporte, para o sistema de envio de amostras e onde nos encontrar nas redes sociais, consulte este artigo publicado no blog da BSPI.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.