Vídeo: Como recuperar praticamente qualquer arquivo criptografado por Vírus Ransomeware (Novembro 2024)
Pesquisadores descobriram uma nova variante do ransomware CryptoLocker que pode infectar ainda mais usuários do que a versão original.
Os criminosos por trás do CryptoLocker parecem ter modificado o ransomware de um Trojan para um worm espalhado por USB, escreveram recentemente pesquisadores da Trend Micro em seu blog Security Intelligence. Como um Trojan, o CryptoLocker não podia se espalhar por si só para infectar os computadores dos usuários. Ele contava com os usuários para abrir um anexo de email ou clicar em um link em um email, para executar e instalar-se no computador. Como um worm, no entanto, o CryptoLocker pode se replicar e se espalhar por unidades removíveis.
Caso você precise de uma atualização, o CryptoLocker é um ransomware. Este é um tipo de malware que bloqueia arquivos no seu computador e exige um resgate para desbloquear os arquivos. Os arquivos são criptografados, portanto, a remoção do malware não libera os arquivos. A única maneira de recuperar os arquivos é pagar aos criminosos o valor que eles selecionarem (ataques recentes apresentam demandas por BitCoins) ou apenas limpar o computador e restaurar o backup.
A nova versão do malware finge ser um ativador de software como o Adobe Photoshop e o Microsoft Office em sites de compartilhamento de arquivos ponto a ponto (P2P), disse a Trend Micro. Carregar o malware em sites P2P permite que bandidos infectem sistemas facilmente, sem se preocupar com mensagens de spam, de acordo com a publicação do blog.
"Os bandidos por trás dessa nova variante não precisam lançar uma campanha de spam por e-mail para espalhar seus malwares", disse Graham Cluley, pesquisador de segurança.
Como um verme infecta
Imagine um cenário simples. Você empresta uma unidade USB para mover um arquivo de um computador para outro ou para fornecer a alguém uma cópia do arquivo. Se essa unidade foi infectada pelo worm CryptoLocker, todos os computadores aos quais a unidade conectada seriam infectados. E se esse computador estiver conectado a uma rede, o trabalho do Cryptolocker poderá procurar outras unidades conectadas.
"Pode tornar mais fácil para o CryptoLocker infectar PCs em toda a organização", disse Cluley.
Há um bom sinal sobre essa nova variante. O malware original do CryptoLocker usava o algoritmo de geração de domínio (DGA) para gerar periodicamente um grande número de nomes de domínio para conectar-se ao servidor de comando e controle (C&C). A nova versão do CryptoLocker, por outro lado, não usa DGA, pois a URL dos servidores de comando e controle está codificada no ransomware, disse a Trend Micro. Isso facilita a detecção e o bloqueio dos URLs maliciosos relacionados.
No entanto, isso pode significar apenas que o malware ainda está em processo de aprimoramento e aprimoramento, e as versões posteriores do worm podem ter a capacidade de DGA, alertou a Trend Micro. Depois de incluir o DGA, seria mais difícil detectar e bloquear o ransomware.
O que eu faço?
A Trend Micro e Cluley tiveram algumas recomendações sobre o que fazer:
Os usuários devem evitar usar sites P2P para obter cópias de software e ficar com sites oficiais ou respeitáveis.
Os usuários também devem ter muito cuidado ao conectar unidades USB em seus computadores. Se você encontrou um por aí, não conecte-o para ver o que pode estar nele.
"Certifique-se de seguir práticas seguras de computação e tenha cuidado com o que executa em seus computadores, e não esqueça de manter o seu antivírus atualizado e o seu juízo sobre você", disse Cluley.