Check Point descobre duas novas famílias de ransomware

Segurança

A Check Point, fabricante mundial especializado em segurança, revelou a descoberta de duas novas famílias de ransomware, o DeriaLock e o PHP Ransomware. A empresa indica que já disponibiliza as soluções de desencriptação para essas ameaças, que podem ajudar as vítimas a recuperar de forma gratuita os dados perdidos.

O DeriaLock apareceu pela primeira vez a 24 de dezembro de 2016 mas, nas primeiras horas, apenas  tomava o controlo da tela da vítima e impedia o acesso ao computador. Em seguida, esse malware evoluiu e passou a ter um mecanismo de encriptação de arquivos e a ameaçar os usuários com sua eliminação total se tentassem reiniciar seus equipamentos. O pedido de regate é de US$ 30 dólares, um preço relativamente abaixo das outras famílias de ransomware ativas.

A equipa de investigadores da Check Point também descobriu uma nova ameaça na forma de um script PHP que encripta os arquivos da vítima mas que não é considerado exatamente um ransomware.

Esse script não apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os dados, não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.

O PHP Ransomware procura arquivos relevantes com uma das seguintes extensões:

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso   

Se encontra um desses arquivos, o script muda as permissões de acesso e encripta-os adicionando “.crypted” ao nome. O PHP Ransomware vê apenas os primeiros 2048 bytes do arquivo, assim, só ficheiros menores a 2MB são totamente encriptados.

Para acessar às ferramentas de desencriptação destas ameaças basta ir ao blogue da Check Point e baixar os desencriptadores assim como as instruções de uso. Antes de iniciar o processo, a empresa de segurança recomenda que se faça uma cópia de segurança ao disco rígido.

A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, suas ferramentas de desencriptação de forma pública e gratuita.


Clique para ler a bio do autor  Clique para fechar a bio do autor