O Ransomware, malware que encripta ficheiros e obriga ao pagamento de um “resgate” para os desencriptar, veio para ficar e, pior, está mais agressivo e dispendioso que nunca. Esta forma de ataque é uma extensão do cibercrime e na realidade está mais próxima do ciberterrorismo.
Apesar do malware que efectua a encriptação de ficheiros dos utilizadores e empresas e tenta extorquir dinheiro não ser algo de novo, existem sim novas variantes muito perigosas e que estão a atacar empresas de pequena a média dimensão que já se viram privadas de aceder aos seus documentos e bases de dados de software de gestão. Em muitos casos, contrariamente ao recomendado, os clientes foram obrigados a ceder ao pagamento do resgate, continuando à mercê de futuros ataques.
Uma nova campanha maliciosa que começou na América Latina e Europa de Leste está agora a assolar todos os sistemas a nível mundial.
Esta nova vaga de ransomware está a ser propagada através do trojan downloader Elnoocka, estando a ser detectados largos milhares de variantes, por dia.
Este ataque começa com um email falso que chega à caixa de correio do utilizador. O assunto do e-mail quer fazer o utilizador acreditar que o anexo é um fax, um ficheiro falso infectado com o Win32/TrojanDownloader.Elenoocka.A. Se abrir este ficheiro e o seu antivírus não o proteger uma variante do Win32/FileCoder.DA será descarregada para o seu sistema, encriptando todos os ficheiros. Se não pagar o resgate em bitcoins irá perder os seus ficheiros para sempre.
Algumas variantes do Win32/TrojanDownloader.Elenoocka.A ligam-se a um endereço remoto para descarregarem malware como o Win32/FileCoder.DA e conhecido como CTB‑locker.
Esta família de malware encripta todos os ficheiros de forma similar ao CryptoLocker, sendo que a diferença principal reside no facto desta família de malware utilizar outro algoritmo de encriptação, do qual o nome deriva.
O resultado é similar ao do CryptoLocker ou do TorrentLocker, em que ficheiros com extensões como mp4, .pem, .jpg, .doc, .cer, .db etc. são encriptados com uma chave, o que torna virtualmente impossível a recuperação.
À semelhança do que acontece com outras famílias de malware, os cibercriminosos que apostam no ransomware Filecoder, experimentam diferentes métodos de introduzirem esta ameaça no computador das vítimas:
- Downloads a partir de sites contaminados com malware
- Anexos de e-mail comprometidos
- Instalação através de outro troiano ou backdoor
- Instalação manual feita pelo atacante através de uma infiltração por RDP
- Outros vectores de infecção