Ransomware malware

O que é Ransomware

Ransomware malware

Ransomware é uma forma de malware que ataca o meio tecnológico para atingir a vítima humana. Diferente de outros malwares que tem o objetivo de prejudicar a estação de trabalho, podendo destruir softwares e as informações contidas nos mesmos, o ransomware ataca o meio digital, criptografa os dados e exige que a vítima detentora dos dados pague pela liberação do acesso, vulgo sequestro.

Histórico do Ransomware

Apesar de estar na mídia de forma recente, ransomware é uma categoria de malware que existe desde 2005, originário na Rússia, detectado originalmente com o nome Trojan.Gpcoder.A, e zipava os arquivos sobrescrevendo os originais. Originalmente os ransomware criptografavam somente arquivos doc, xls, jpg, zip e pdf.

A evolução do ransomware permite que o malware possa varrer qualquer base de informações em uma rede de computadores, inclusive instâncias na nuvem como o Dropbox ou um servidor de banco de dados. Hoje um ransomware também não se limita somente aos computadores, notebooks e servidores; existem ransomwares específicos para dispositivos móveis (Ex.: ANDROIDOS_LOCKER) e até em smart TVs, com o ransomware FLocker, ou qualquer dispositivo Java com o malware RAA.

O nível de alcance do malware ransoware tomou proporções tão grandes, que segundo a reportagem do The Washington Times de 25/05/2016, o FBI informou que as infecções deste tipo causaram mais de US$1,6 milhões em prejuízos no último ano para as vítimas. Sendo que este valor faz parte do montante de US$1,07 bilhões em prejuízos originários de 288012 crimes digitais notificados pelo IC3.

Origens do ransomware

  • Redirecionamento de tráfego web, que encaminha o usuário para um site com kit de exploração que aciona o ataque. Também pode ser utilizado o redirecionamento de tráfego de sites idôneos, encaminhando para um site que contém o malware.
  • Via e-mail spam contendo arquivos anexos com o malware. Por meio dos arquivos, ou inclusive phishing, o malware faz o download da chave via comunicação anônima para roubar os dados do usuário.
  • Por meio de downloads em sites não confiáveis e botnets. Os arquivos com malware podem estar escondidos em um download teoricamente seguro.
  • Engenharia social, sendo que boa parte dos ataques de ransomware em dispositivos móveis são originários de SMSs com ofertas, enganando o usuário.

Como lidar com ransomware e outros malwares avançados?

Com as constantes ameaças de ransomware, é fundamental ter uma política de backups, redundância de dados e sistemas em um lugar apartado e disponível a todo momento. Fazer o backup na nuvem é extremamente recomendável, assim como um storage offsite.

Além da política de backups e conscientização dos usuários para a utilização de recursos da web, algumas tecnologias podem auxiliar na proteção dos ativos da empresa:

Filtro de Conteúdo WEB com APT na nuvem

Por meio de uma tecnologia que faz funções de segurança da nuvem como o Zscaler, é possível mitigar as chances de um ransomware atacar as estações de trabalho e dispositivos móveis.

zscaler malware

Para exemplificar, uma empresa que possui seu tráfego web controlado por uma tecnologia como Zscaler, independentemente do link de acesso a web e o dispositivo (notebook, PC ou celular), sites categorizados como possíveis malwares já serão bloqueados assim que o usuário tentar acessar ou for redirecionado.
Durante a navegação, os usuários terão seus acessos protegidos por meio do antivírus/antispyware e mesmo que uma nova anomalia persistente surja, devido a nuvem do Zscaler com um sandbox, os arquivos envenenados serão analisados.

Em casos que phishing ou de anexo de e-mail com arquivo envenenado, o Zscaler consegue fazer o bloqueio do ransomware no momento em que tentar se comunicar com o servidor externo para baixar a chave criptográfica, mesmo utilizando meio web criptografado, o tráfego será analisado.

Todas essas funções são executadas mesmo em celulares, mesmo utilizando canal 3G ou 4G.

Appliance Sandbox

Quando se trata de ameaças persistentes e avançadas, a licença do antivírus (estação ou gateway) não são o bastante. As tecnologias de antivírus trabalham por meio de análise de comportamento do tráfego (fluxo) e/ou arquivos para corresponder com assinaturas existentes na tecnologia, sendo que as assinaturas foram criadas após um ataque.

As tecnologias de sandbox, como o Fortisandbox, trabalham em conjunto com outras tecnologias de antivírus para executar arquivos suspeitos que não correspondem a nenhuma assinatura de antivírus.

O Fortisandbox intercepta ainda o fluxo de dados no modo sniffer, identificando arquivos e ameaças de call-back de botnets que porventura já tenham se instalado nos equipamentos da empresa.

O sandbox executa os arquivos em diversas instâncias virtualizadas de sistemas operacionais diversificados e analisa o que pode ocorrer nas execuções, para posteriormente enviar o arquivo ao seu destino. Desta forma, caso um arquivo tenha ransomware, ele será bloqueado.

A Fortinet oferece também assinaturas de Fortisandbox Cloud, onde o serviço de análise acontece na nuvem e basta adquirir uma assinatura ou complementar um bundle já existente.

Desta forma os coletores de arquivos a analisar são os próprios Fortigates que a empresa tem em sua infraestrutura.

FortiSandbox para Ransomware

Exemplos de Ransomwares já conhecidos e que infectaram milhares de usuários:

NOME DESCRIÇÃO
ACCDFISA Criptografa os arquivos e os cyber-criminosos exigem o pagamento por meio do Moneypack, Paysafe ou Ukashe para liberar os dados sequestrados.
ANDROIDOS_LOCKER Foi o primeiro ransomware para dispositivos móveis. Ele utiliza o Tor para efetivar a comunicação com o servidor anônimo e trocar as chaves.
CRIBIT Utiliza criptografia RSA-AES (426 e 1024) para criptografar os arquivos alvos.
CRILOCK Aplica o Algoritmo Gerador de Domínios (DGA) para cara conexão com servidor de troca de chaves.
CRITOLOCK Utiliza a criptografia padrão AES-128 para sequestrar os dados. Possui a característica de escrever Cryptolocker no wallpaper do computador.
CRYPAURA Criptografa os arquivos e anexa o nome do e-mail do usuário à descrição do arquivo.
CRYPCTB Criptografa os arquivos e garante que não existam cópias de segurança do mesmo. Normalmente tem origem via spam com e-mails portadores de anexo.
CRYPDEF Para liberar os dados criptografados, exige o pagamento do resgate via Bitcoin.
CRYPTCOIN Criptografa os dados e exige pagamento via Bitcoin. Oferece um teste liberando um arquivo.
CRYPTFILE Utiliza uma chave pública RSA-2048 por arquivo e exige 1 Bitcoin por chave.
CRYPWALL Utiliza Bitcoin como modo de pagamento do sequestro. Utiliza a rede Tor para manter o sigilo da comunicação. Tem origem via spam.
CRYPTROLF Mostra uma troll face após a criptografia dos dados.
CRYPTTOR Muda o wallpaper para uma imagem com paredes e exige o pagamento do sequestro.
CRYPTOR É um arquivo batch capaz de criptografar os dados utilizando GNU Privacy Guard.
DOWNCRYPT Tem de origem via e-mails.
VIRLOCK Infecta arquivos, sendo documentos até imagens e medias em geral.
PGPCODER Um dos primeiros ransomwares encontrados em 2005.
KOLLAH Ransomware que ataca arquivos Microsoft, PDF e outros com relevância para usuários comuns.
KOVTER O payload do ataque é relacionado a anúncios do YouTube.
MATSNU Possui a capacidade de controlar o screen lock.
RANSOM Aplicação genérica que impede o usuário de ter acesso completo dos dados, criptografando os dados da máquina infectada.
REVETON Apresenta uma mensagem que o IP do usuário foi acusado de violar leis federais pelo FBI, acessando sites com conteúdo ilegal.
VBUZKY Ransomware com chave de 64-bits.
CRYPTOP Faz o downoad do pacote GULCRYPT para danificar a máquina.
GULCRYPT Esconde e criptografa os dados, deixando um ransom com arquivo texto dando instruções de como liberar os dados sequestrados.
CRYPWEB Criptografa bancos de dados de servidores web. Utiliza HTTPS para comunicar com o servidor de chaves.
CRYPDIRT Variante do Cryptolocker visto primeiramente em 2013.
CRYPTORBIT Detecta imagens, textos e arquivos HTML que contém informações dos arquivos comprometidos.
CRYPTLOCK Outra variante do Cryptolocker. Possui um mecanismo que permite criptografar diversos arquivos ao mesmo tempo enquanto o computador está funcional.
CRYPFORT Procura e criptografa os dados em pastar compartilhadas.
CRYPTESLA Criptografa arquivos relacionados a jogos e media em geral.
CRYPVAULT Utiliza a ferramenta GNUPG. Faz o download dos mecanismos para o ataque por meio de servidores web.
CRYPSHED Primeiramente visto a Rússia, adiciona tradução em inglês nas notas do sequestro para atingir as vítimas de outros países.
SYNOLOCK Explora dispositivos NAS Synology.
KRYPTOVOR Utiliza uma biblioteca em Delphi chamada Lock Box 3 para criptografar os dados.
CRYPFINI Tem origem via spam utilizando um macro anexado.
CRYPFIRAGO Utiliza Bitmessage para comunicação com seus criadores.
CRYPRADAM Utiliza arquivos rdm para criptografar os dados.
CRYPTRITU Ransomware JavaScript.
CRYPBOSS Anexa um arquivo crypt para criptpgrafar os dados.
CRYPZUQUIT Malware conhecido como ransoware-as-a-service (RaaS).
CRYPDAP Possui um chat para dar suporte aos usuários infectados.
CRYPHYDRA Baseado do código do CrypBoss.
LOCKY Renomeia os arquivos infectados com valores hexadecimais.
CERBER Criptografa os dados e renomeia como .cerber.
CRYPSAM Explora vulnerabilidades em plataformas open source de servidores Java.
PETYA Causa uma tela azul e mostra a nota do ransomware.
WALTRIX Tem origem via arquivo dll.
CRYPSALAM Criptografa os dados e dá informações do ransomware aos poucos.

Adquira a proteção contra ransomware

A TRTEC é Partner Fortinet e Zscaler no Brasil, estando credenciada a fornecer suporte e serviços de consultoria em toda a sua linha de produtos.
Entre em contato pelo telefone: (11) 3875-3310 ou e-mail: vendas@trtec.com.br ou via formulário na nossa Página de Contato.

contato

Tel SP: +55 (11) 3875-3310
Tel Campinas: +55 (19) 3233-4233
E-mail: vendas@trtec.com.br
Skype: vendas.trtec
Blog: blog.trtec.com.br


Conheça também


© 2017 TRTEC Informática. Todos os direitos reservados

Rua Monte Alegre, 61 - 1 andar - CJ 11-14
Tel: (11) 3875-3310 - Email: vendas@trtec.com.br
Skype: vendas.trtec
www.trtec.com.br | blog.trtec.com.br