{"id":2945,"date":"2017-01-15T13:17:32","date_gmt":"2017-01-15T12:17:32","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=2945"},"modified":"2017-06-03T01:45:25","modified_gmt":"2017-06-03T00:45:25","slug":"check-point-descobre-duas-novas-familias-de-ransomware","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/check-point-descobre-duas-novas-familias-de-ransomware\/","title":{"rendered":"Check Point descobre duas novas fam\u00edlias de ransomware"},"content":{"rendered":"

A equipa de investigadores de amea\u00e7as da Check Point revela ter descoberto duas novas fam\u00edlias de ransomware, disponibilizando tamb\u00e9m as suas correspondentes solu\u00e7\u00f5es de desencripta\u00e7\u00e3o<\/span>“<\/em><\/strong><\/p>\n

\"Ransomware\"<\/a>O ransomware \u00e9 um dos m\u00e9todos de ataque mais comuns e eficazes nos dias de hoje e tudo indica que esta tend\u00eancia n\u00e3o mudar\u00e1 no curto prazo. Em novembro passado, a Check Point\u00ae Software Technologies Ltd.<\/a> (NASDAQ: CHKP), o maior fabricante mundial especializado em seguran\u00e7a, revelou que o n\u00famero de sequestros de dados online cresceu exponencialmente, sendo que o seu \u00cdndice de Amea\u00e7as Global indicava que o n\u00famero de ataques com recurso aos malwares Locky e Cryptowall tinha aumentado 10%.<\/p>\n

Agora, a equipa de investigadores de amea\u00e7as da Check Point revela a descoberta de duas novas fam\u00edlias, disponibilizando de imediato as correspondentes solu\u00e7\u00f5es de desencripta\u00e7\u00e3o, que podem ajudar as v\u00edtimas a recuperar de forma gratuita os seus dados perdidos. A Check Point \u00e9 parceira do projeto No More Ransom (NMR)<\/a>, cujo objetivo \u00e9 lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencripta\u00e7\u00e3o de forma p\u00fablica.<\/p>\n

DeriaLock: Ransomware que muda numa quest\u00e3o de horas<\/span><\/strong><\/p>\n

O DeriaLock \u00e9 um peculiar malware que tem vindo a evoluir de uma forma muito r\u00e1pida. Quando apareceu pela primeira vez a 24 de dezembro de 2016, a \u00fanica coisa que fazia era tomar o controlo do ecr\u00e3 da v\u00edtima e impedi-la de aceder ao seu computador. Era um s\u00e9rio inc\u00f3modo, mas n\u00e3o causava danos reais. Dois dias depois, foi descoberta outra variante. Desta vez inclu\u00eda um mecanismo de encripta\u00e7\u00e3o de ficheiros, e amea\u00e7ava os utilizadores com a sua elimina\u00e7\u00e3o total se tentassem reiniciar os seus equipamentos.<\/p>\n

Karsten Hahn, o analista de malware que descobriu pela primeira vez o DeriaLock, afirmou no Twitter que esta era uma \u201camea\u00e7a vazia\u201d. E assim foi, pelo menos durante umas horas, at\u00e9 que a \u00faltima variante do ransomware apareceu. A vers\u00e3o atual inclui todas estas fun\u00e7\u00f5es: bloqueio de ecr\u00e3, encripta\u00e7\u00e3o de ficheiros e elimina\u00e7\u00e3o de ficheiros depois de se reiniciar o computador.<\/p>\n

Neste momento, o pedido de regate \u00e9 de apenas 30 d\u00f3lares, um pre\u00e7o relativamente abaixo das outras fam\u00edlias ativas. Os investigadores da Check Point encontraram uma forma de explorar v\u00e1rios defeitos na sua programa\u00e7\u00e3o, o que lhes permitiu criar ferramentas de desencripta\u00e7\u00e3o que ajudam as v\u00edtimas a recuperar sus ficheiros e a evitar o pagamento do regate.<\/p>\n

PHP<\/span> Ransomware<\/strong><\/p>\n

A equipa de investigadores da Check Point tamb\u00e9m descobriu um novo ransomware na forma de um script PHP. A primeira vez que o encontraram foi ao aceder ao dom\u00ednio hxxp:\/\/med-lex[.]com. Embora esta amea\u00e7a encripte os ficheiros da v\u00edtima, n\u00e3o \u00e9 exatamente um “ransomware”.<\/p>\n

Ao contr\u00e1rio da maioria dos malwares de sequestro de dados mais populares, este script n\u00e3o apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os ficheiros. S\u00f3 os encripta sem oferecer nenhuma op\u00e7\u00e3o de recupera\u00e7\u00e3o. Tamb\u00e9m n\u00e3o tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o n\u00famero de m\u00e1quinas infetadas, descarregar execut\u00e1veis ou realizar outras atividades malignas.<\/p>\n

O PHP Ransomware come\u00e7a por analisar o sistema repetidamente. Quando encontra um diret\u00f3rio, verifica as suas subpastas e procura os ficheiros relevantes, para averiguar se cont\u00eam alguma destas extens\u00f5es:<\/p>\n

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso<\/p>\n

Se um dos ficheiros coincidir com as extens\u00f5es anteriores, o script muda as permiss\u00f5es de acesso e permite ao propriet\u00e1rio e a outros utilizadores ler, escrever e executar o ficheiro. Depois l\u00ea os primeiros 2048 bytes do ficheiro e encripta-os. Se o tamanho do ficheiro for menos de 2 MB, este \u00e9 completamente encriptado. Al\u00e9m disso, uma extens\u00e3o “.crypted” \u00e9 adicionada ao nome do ficheiro sem omitir o original.<\/p>\n

A Check Point disponibiliza no seu blogue os links para descarregar ambos os desencriptadores<\/a>, assim como as instru\u00e7\u00f5es de uso de cada um deles. Al\u00e9m disso, recomenda a utiliza\u00e7\u00e3o das ferramentas com precau\u00e7\u00e3o, j\u00e1 que s\u00f3 s\u00e3o eficazes contra as vers\u00f5es atuais do Derialock e do PHP ransomware.<\/p>\n

Os fabricantes de solu\u00e7\u00f5es de seguran\u00e7a e os hackers permanecem num eterno jogo do gato e do rato, pelo que existe a possibilidade de os ciberatacantes lan\u00e7arem novas vers\u00f5es do malware, tornando imposs\u00edvel a recupera\u00e7\u00e3o dos ficheiros. Portanto, a empresa n\u00e3o se responsabiliza pelas tentativas falhadas de desencripta\u00e7\u00e3o dos ficheiros utilizando estas ferramentas.<\/p>\n

Antes de iniciar o processo de desencripta\u00e7\u00e3o, a Check Point recomenda que se fa\u00e7a uma c\u00f3pia de seguran\u00e7a ao disco r\u00edgido. O utilizador tamb\u00e9m tem que estar familiarizado com o procedimento espec\u00edfico de como iniciar o computador em modo de seguran\u00e7a, j\u00e1 que, se o equipamento n\u00e3o for reiniciado assim, todos os seus dados ser\u00e3o eliminados.<\/p>\n

Fonte: Check Point<\/span><\/strong> e Adding Value<\/span><\/strong><\/p>\nPartilhe no Facebook<\/a>\n\t