De malware destrutivo “CryptoLocker” à solta – aqui está o que fazer

SophosLabs nos pediu para lembrá-lo sobre a ameaça de malware destrutivo que o próprio CryptoLocker chama.

Sophos Anti-Virus detecta-lo pelo nome Troj / Ransom-ACP, porque é exatamente isso que ele faz: mantém seus arquivos para o resgate.

Exigir dinheiro com ameaças

Malware que criptografa seus dados e tenta vendê-lo de volta para você, ou então, não é nova.

Na verdade, uma das primeiras peças de malware que foi escrito especificamente para ganhar dinheiro, ao invés de simplesmente para provar um ponto, foi a informação de Tróia AIDS de 1989.

Isso Trojan mexidos seu disco rígido depois de 90 dias, e instruiu a enviar R $ 378 a um endereço alojamento no Panamá.

O agressor, um Dr. Joseph Popp, foi localizado nos EUA, extraditado para o Reino Unido para ser julgado, exibido comportamento cada vez mais caótica, e acabou por ser expulso da Grã-Bretanha e nunca condenado.

Felizmente, sua malwares foi igualmente caótica: é usado algoritmos de criptografia simplistas, e cada computador foi mexidos, da mesma forma, por isso ferramentas gratuitas para limpeza e recuperação logo se tornou disponível.

Infelizmente, os criminosos por trás do malware CryptoLocker não ter feito os mesmos erros de codificação.

O malware parece fazer sua criptografia pelo livro, por isso não há maneira de recuperar seus arquivos codificados depois de ter disparado. (Você poderia, suponho, tente pagar o resgate, mas eu recomendo que você não sabe.)

O que faz CryptoLocker

Quando o malware é executado, ele procede como se segue:

1. CryptoLocker se instala em seus pasta Documents and Settings, usando um nome gerado aleatoriamente, e acrescenta-se à lista de programas em seu registro que o Windows carrega automaticamente cada vez que você logon.

2. Ela produz uma longa lista de nomes de servidores aleatório olhando nos domínios. Biz,. Co.uk,. Com,. Info,. Net,. Org e. Ru.

3. Ele tenta fazer uma conexão web para cada um desses nomes de servidor, por sua vez, tenta uma a cada segundo até que encontre uma que responde.

4. Depois de ter encontrado um servidor que ele pode chegar, ele carrega um pequeno arquivo que você pode pensar em como o seu "ID CryptoLocker".

5. O servidor gera um par de chaves pública-privada exclusivo para o seu ID e envia a chave pública parte de volta para o computador.

→ Lembre-se que a criptografia de chave pública utiliza duas chaves diferentes: uma chave pública, que bloqueia arquivos, e uma chave privada, que lhes abre. Você pode compartilhar sua chave pública amplamente para que qualquer pessoa pode criptografar arquivos para você, mas só você (ou alguém a quem você deu uma cópia da sua chave privada) pode decifrar-los.

6. O malware em seu computador usa esta chave pública para criptografar todos os arquivos que ele pode achar que correspondem a uma lista de extensões bastante largo, abrangendo os tipos de arquivos, como imagens, documentos e spreadhseets.

→ Note-se que as pesquisas de malware para criptografar arquivos em todas as unidades e em todas as pastas que ele possa acessar a partir do seu computador, incluindo arquivos de grupos de trabalho compartilhadas por seus colegas, recursos em servidores de sua empresa, e possivelmente muito mais. Quanto mais privilegiado sua conta, pior o dano total será.

7. O malware em seguida, aparece uma "página de pagamento," dando-lhe um tempo limitado, normalmente de 100 horas, para comprar de volta a chave privada para seus dados, normalmente por US $ 300. (O preço é surpreendentemente semelhante ao que era em 1989.)

→ Com a chave privada, você pode recuperar seus arquivos. Alegadamente. Nós não tentamos comprar alguma coisa para trás, até porque sabemos que estaria negociando com bandidos.

O que temos visto

SophosLabs recebeu um grande número de documentos mexidos através do sistema de envio de amostra Sophos.

Estes vieram de pessoas que estão muito na esperança de que há uma falha na criptografia CryptoLocker, e que podemos ajudá-los a obter os seus arquivos de volta.

Mas, tanto quanto podemos ver, não há nenhuma backdoor ou atalho: o que a chave pública mexidos, somente a chave privada pode decifrar.

Nas palavras desajeitadas, mas categórica dos próprios criminosos:

A única cópia da chave privada, que irá permitir que você descriptografar os arquivos, localizados em um servidor secreto na Internet, o servidor irá destruir a chave depois de um tempo especificado nesta janela. Depois disso, ninguém e nunca será capaz de restaurar os arquivos.

E é por isso SophosLabs queria escrever este artigo, uma vez que se depara com a triste tarefa de contar as vítimas que seus arquivos são tão bons como excluído.

Como a ameaça fica em

SophosLabs relata dois principais vetores de infecção: através de anexos de e-mail e via botnets.

Ataques de e-mail são bastante fáceis de evitar: tome cuidado com os anexos que você não estava esperando, ou de pessoas que você não conhece bem.

A infecção através de um botnet é um pouco diferente, já que os criminosos estão usando o fato de que você já está infectado com malware, como forma de contaminá-lo com ainda mais malware.

Isso porque a maioria dos bots, ou zumbis, uma vez ativos no seu computador, incluir um comando de uso geral "upgrade" que permite que os criminosos para atualizar, substituir ou adicionar o malware instalado em seu PC.

Portanto, tome o nosso conselho: torná-la sua tarefa hoje para procurar e destruir qualquer malware instalado em seu computador, para que não se você cavar mais fundo ainda.

O que você pode fazer

Aproveite esta história como um aviso, e não se esqueça que existem muitas outras maneiras que você pode perder seus arquivos para sempre.

Por exemplo, você pode soltar o seu laptop no porto (isso acontece!), Um ladrão poderia fugir com o computador (isso acontece!), ou você pode confiar seus arquivos para um serviço na nuvem que de repente desliga-se (! isso acontece) .

O fim do jogo é o mesmo em todos os casos: se você tem um backup confiável e recente, você terá uma boa chance de recuperação sem muita dificuldade.

A prevenção, neste caso, é significativamente melhor do que a cura:

  • Fique atualizado. Mantenha seu sistema operacional e software atualizado.
  • Verifique se o seu anti-vírus está ativo e atualizado.
  • Evite abrir anexos que você não estava esperando, ou de pessoas que você não conhece bem.
  • Faça backups regulares, e armazená-los em algum lugar seguro, de preferência offline.

Não se esqueça que os serviços que sincronizam automaticamente as alterações de dados com outros servidores, por exemplo, na nuvem, não contam como backup.

Eles podem ser extremamente úteis, mas eles tendem a se propagar erros, em vez de se defender contra eles.

Para o sincronizador, um documento em sua unidade local, que acaba de ser mexidos por CryptoLocker é a versão mais recente, e que é isso.

Outras informações

Para mais informações, incluindo links para a nossa base de conhecimentos, o nosso sistema de envio de amostra, e como nos encontrar no Spiceworks rede de negócios sociais-lo, consulte este artigo no blog da empresa Sophos.