Recursos/White Papers

Tecnologia

Avast oferece ferramentas gratuitas para ajudar vítimas de ransomware

São soluções de decodificação e decriptografia para auxiliá-los na tentantiva de recuperar seus arquivos

Da Redção

Publicada em 11 de fevereiro de 2017 às 08h15

No decorrer de 2016, o ransomware se tornou uma das maiores ameaças de segurança da informação.  Mais de 200 novas variantes de ransomware foram descobertas, e o crescimento do número de amostras dispersas dobrou.

Empenhada em lutar contra o ransomware, a Avast está lançando ferramentas de decodificação de ransomware para as seguintes variedades: HiddenTear, Jigsaw e Stampado/Philadelphia. De acordo com a empresa, o cenário ideal é oferecer diversas opções (gratuitas) para que as vítimas encontrem a que funciona melhor.

As "cepas" HiddenTear, Jigsaw e Stampado/Philadelphia têm sido bastante ativas — e predominantes — nos últimos meses. As chaves de criptografia usadas, bem como os algoritmos internos, mudam muito. Isso significa que a Avast precisou atualizar suas ferramentas de descriptografia também. Portanto, há uma boa chance de que  esses soluções ajudem as vítimas das versões mais recentes dessas linhagens de malware.

Por último, mas igualmente importante, a empresa diz ter sido capaz de acelerar significativamente o tempo de descriptação — mais precisamente, o processo de quebra de senha com brute force —, e, assim, algumas das variantes HiddenTear podem ser descriptografadas em minutos, em vez de dias. Os melhores resultados são alcançados ao decifrar arquivos diretamente na máquina infectada.

Os malwares

HiddenTear — É um dos primeiros códigos de ransomware de código aberto hospedados no GitHub e remonta a agosto de 2015. Desde então, centenas de variantes dele foram produzidas por bandidos usando o código-fonte original. O HiddenTear usa criptografia AES.

Mudanças nos nomes de arquivos: os arquivos criptografados pelo HiddenTear terão as seguintes extensões, (mas não limitadas a estas): locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Mensagem de resgate: Depois da criptografia dos arquivos, um arquivo de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) aparece no desktop do usuário. Várias variantes podem também exibir esta mensagem de resgate:

null

Jigsaw — É uma estirpe de ransomware que tem sido vista desde março de 2016. Seu nome foi inspirado no nome do personagem do filme "The Jigsaw Killer". Várias variantes deste ransomware usam a imagem do assassino Jigsaw na tela de resgate.

Mudanças nos nomes de arquivos: os arquivos criptografados terão as seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush.

Mensagem de resgate: depois da criptografia dos arquivos, uma das telas abaixo aparecerá:

null

null

Stampado — É uma estirpe ransomware escrita com o uso da ferramenta de script AutoIt. Ela está circulando desde agosto de 2016. Está sendo vendida na dark web, e variações novas continuam aparecendo. Uma de suas versões é também chamada Filadélfia.

Mudanças nos nomes de arquivos: o Stampado acrescenta a extensão “.locked” aos arquivos criptografados. Algumas Variantes também criptografam o próprio nome do arquivo, para que o nome dele possa se parecer com este - “document.docx.locked” ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensagem de resgate: depois da criptografia dos arquivos, a tela abaixo aparecerá:

null

Como se proteger
Distribuidores de ransomware muitas vezes usam táticas de engenharia social para fazer com que as pessoas baixem o ransomware. Tenha cuidado com os links e anexos que você abre e com o que você baixa na web. Certifique-se de verificar a origem de e-mails, incluindo links e anexos e apenas baixar software e visitar sites confiáveis.

Fazer backup de seus dados corretamente em intervalos regulares também é crucial. Certifique-se de não manter seus backups conectados a seus dispositivos o tempo todo, caso contrário seus backups podem ser sequestrados também. 

Se você tiver azar e se tornar infectado por ransomware, certifique-se de verificar as ferramentas de descriptografia para tentar recuperar seus arquivos!

As ferramentas



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui