2017-1-06
A equipa de investigadores de ameaças da Check Point revela ter descoberto duas novas famílias de ransomware, disponibilizando também as suas correspondentes soluções de desencriptação
A equipa de investigadores de ameaças da Check Point revela a descoberta de duas novas famílias de ransomware, disponibilizando de imediato as correspondentes soluções de desencriptação, que podem ajudar as vítimas a recuperar de forma gratuita os seus dados perdidos. A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencriptação de forma pública. O primeiro é o DeriaLock, um peculiar malware que tem vindo a evoluir de uma forma muito rápida. Quando apareceu pela primeira vez, a 24 de dezembro de 2016, a única coisa que fazia era tomar o controlo do ecrã da vítima e impedi-la de aceder ao seu computador, não causando danos reais. Dois dias depois, foi descoberta outra variante. Desta vez incluía um mecanismo de encriptação de ficheiros, e ameaçava os utilizadores com a sua eliminação total se tentassem reiniciar os seus equipamentos. A versão atual inclui todas estas funções: bloqueio de ecrã, encriptação de ficheiros e eliminação de ficheiros depois de se reiniciar o computador. Neste momento, o pedido de regate é de apenas 30 dólares, um preço relativamente abaixo das outras famílias ativas. Os investigadores da Check Point encontraram uma forma de explorar vários defeitos na sua programação, o que lhes permitiu criar ferramentas de desencriptação que ajudam as vítimas a recuperar sus ficheiros e a evitar o pagamento do regate. A equipa de investigadores da Check Point também descobriu um novo ransomware na forma de um script PHP. A primeira vez que o encontraram foi ao aceder ao domínio hxxp://med-lex[.]com. Embora esta ameaça encripte os ficheiros da vítima, não é exatamente um "ransomware". Ao contrário da maioria dos malwares de sequestro de dados mais populares, este script não apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os ficheiros. Só os encripta sem oferecer nenhuma opção de recuperação. Também não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas. O PHP Ransomware começa por analisar o sistema repetidamente. Quando encontra um diretório, verifica as suas subpastas e procura os ficheiros relevantes, para averiguar se contêm extensões específicas. Se um dos ficheiros coincidir com as extensões procuradas, o script muda as permissões de acesso e permite ao proprietário e a outros utilizadores ler, escrever e executar o ficheiro. Depois lê os primeiros 2048 bytes do ficheiro e encripta-os. Se o tamanho do ficheiro for menos de 2 MB, este é completamente encriptado. Além disso, uma extensão ".crypted" é adicionada ao nome do ficheiro sem omitir o original. A Check Point disponibiliza no seu blogue os links para descarregar ambos os desencriptadores, assim como as instruções de uso de cada um deles. Além disso, recomenda a utilização das ferramentas com precaução, já que só são eficazes contra as versões atuais do Derialock e do PHP ransomware. Antes de iniciar o processo de desencriptação, a Check Point recomenda que se faça uma cópia de segurança ao disco rígido. O utilizador também tem que estar familiarizado com o procedimento específico de como iniciar o computador em modo de segurança, já que, se o equipamento não for reiniciado assim, todos os seus dados serão eliminados. |