This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Nova técnica de ransomware explicou

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Ransomware é um software malicioso que tenta extorquir dinheiro de usuários desavisados, normalmente, bloqueando-os para fora de suas máquinas. Esta não é a primeira vez (ou até mesmo o segundo) que temos visto malware, nos últimos meses, mas ultimamente tem havido uma tendência de um tipo mais sinistro de ransomware.

Em vez de simplesmente utilizando truques para bloqueá-lo de seu computador, cripto-ransomware mantém seus arquivos (documentos, fotos, músicas, filmes, etc) como refém por criptografando-os. Isso faz com que a remediação muito mais difícil do que simplesmente remover a infecção maliciosa, como seus arquivos também precisa ser decifrada.

Na semana passada, SophosLabs viu amostras ransomware novos empregando esta técnica. Sobre a infecção, as pesquisas de malware para tipos específicos de arquivos (usando uma lista de mais de 110 extensões de arquivos,. Doc.., JPG, PDF, etc), criptografa-los, e renomeia o arquivo agora ilegível com uma extensão de bloqueio.. A mensagem de resgate seguinte é exibida para o usuário:

Todos os seus arquivos pessoais (fotos, documentos, bases de dados) foram criptografados por uma cifra muito forte.
Você pode verificar isso por si - basta olhar para os arquivos em todas as pastas.
Não há possibilidade para descriptografar esses arquivos sem um programa de descriptografar especial.
Ninguém pode ajudá-lo - mesmo não tente encontrar outro método ou contar a ninguém.
Nós podemos ajudá-lo a resolver esta tarefa: enviar seu pedido sobre este e-mail: blockage@tormail.org
Anexar à mensagem uma chave de série completo abaixo desta ('como descriptografar files.txt') de arquivos no desktop.
E lembre-se: todas as palavras prejudiciais ou ruim para o nosso lado vai ser uma razão para ingoring sua mensagem e nada será feito.
Só nós podemos decifrar seus arquivos!

Como todos os seus arquivos estão sendo criptografados, o malware também chama de lar e transmite uma cópia da chave de série para um de seus comando-e-controle servidores.

A parte assustadora é que eles não estão mentindo quando dizem que só eles podem descriptografar os arquivos. Na verdade, o malware faz uso de algum criptografia de chave pública bacana que é o mesmo "one-way" criptografia (assimétrico) que permite compras online com segurança e acessar serviços bancários online.

O malware gera uma chave de criptografia exclusiva aleatoriamente cada vez que infecta um computador, que ele usa para criptografar seus arquivos (usando o AES-256 "nível militar" algoritmo de criptografia). Em seguida, ele criptografa isto usando sua chave pública.

O resultado desta torna-se a chave de série único que é exibido ao utilizador.

Infelizmente, isso significa que só alguém com a sua chave privada pode decifrar a série para obter a chave utilizada para encriptar seus arquivos. Para tentar recuperar a chave privada exigido apenas a chave pública só (RSA 1024 bits) provavelmente levar milhões de quilos de hardware de computação eo tempo e ainda provavelmente não estaria terminado na hora que eu formar na Universidade (2 anos ' tempo).

Enquanto a criptografia a ser utilizado aqui para segurar suas fotos de família de férias / coleção de música retro / cartas de sua namorada para resgate é muito sofisticado, a análise aprofundada do malware revela não ser tão inteligente. Na verdade, eu iria tão longe para dizer as amostras que eu tenho visto são a obra de um autor do malware amador.

A maioria do código de malware não é embalado ou protegidos de qualquer forma como tenho vindo a esperar de qualquer malware sofisticado. Além disso, existem várias cordas muito originais presentes que não servem a nenhum propósito real - em particular a cadeia "Graciliraptor!" Visto na captura de pacotes de algumas amostras.

Talvez este seja persona online do autor, ou de um graffiti-esque 'tag' tirado o nome dado a um gênero de dinossauro terópode do período Cretáceo cedo, que significa "ladrão graciosa". De qualquer forma, ele torna a detecção dessas amostras de malware muito mais fácil!

Assim, a parte realmente preocupante aqui é que se este é realmente o trabalho de um autor do malware wannabe, eles têm sido capazes de aproveitar alguns cripto muito inteligente para causar estragos em seu sistema.

Eles não precisam mesmo de codificar estes próprios algoritmos, pois eles podem usar apenas as bibliotecas de criptografia (Microsoft API de criptografia ou equivalente) já presentes em seu computador!

Pagar o resgate não é recomendado, e nem mesmo garantir que você vai obter seus arquivos descriptografados. Para mim, isso só enfatiza a importância de ter-se-to-date anti-vírus, e backups regulares de documentos importantes - só no caso.

You might like

About the author

Julian Bhardwaj is currently a student at the University of Warwick studying for an undergraduate degree in Discrete Mathematics. As a self confessed crypto-geek, he has a passion for all things security related.