Análise de um Ransomware clássico

Ameaças Ransomware têm surgido com maior frequência  ao redor do mundo. Temos recebido vários contatos de gestores de empresas que tiveram seus dados “sequestrados” por este tipo de software malicioso.
A maioria dos fabricantes de antivírus possui radares de ameaças, como este da ESET. Recentemente começamos a receber novos alertas de códigos maliciosos deste gênero que estão se espalhando em diversos países, e com maior intensidade na América Latina e Leste Europeu.
Na maioria das vezes este ataque começa com um e-mail falso que chega à caixa de e-mail do usuário. Este e-mail não é mais do que uma campanha que tenta espalhar código malicioso que tem como principal objetivo encriptar os arquivos das vítimas, exigindo depois um resgate.

 

CTB_ransomware_1

Neste artigo vamos analisar o comportamento de um ransomware clássico, o CTB-Locker e como essa infecção se espalha. Ela já está causando dores de cabeça a milhares de usuários.

Comportamento

Polônia, República Checa e México são até agora os países mais afetados, como podemos verificar no gráfico representado abaixo. Entretanto, tem se falado muito sobre isso no Brasil, chegando até a reportagens na televisão.

CTB_ransomware_2-1024x612

Este ataque geralmente começa com um email falso que chega à caixa de email do usuário. O assunto do e-mail tem o objetivo de fazer o usuário acreditar que o anexo é um fax (Este  um arquivo falso é detectado pela ESET como Win32/TrojanDownloader.Elenoocka). Ao abrir este arquivo, se o seu antivírus não tem a proteção contra uma variante do Win32/FileCoder.DA, o código malicioso será copiado para o seu sistema, encriptando  todos os seus arquivos. E se não pagar o resgate ou não tiver backup, irá perder os seus arquivos para sempre.

CTB_ransomware_3

Algumas variantes do Win32/TrojanDownloader.Elenoocka.A conectam-se a um endereço remoto para copiarem o malware detectado pela ESET como Win32/FileCoder.DA e conhecido como CTB‑locker. Esta família de código malicioso encripta todos os arquivos de forma similar ao CryptoLocker, sendo que a diferença principal está no fato de que esta família de código malicioso utiliza outro algoritmo de encriptação, do qual o nome deriva.

O resultado é similar ao do CryptoLocker ou do TorrentLocker, em que os arquivos com extensões como mp4, .pem, .jpg, .doc, .cer, .db, xls etc. são encriptados  com uma chave, o que torna virtualmente impossível a recuperação com os recursos computacionais existentes. Assim que o código malicioso acaba de encriptar as informações dos usuários, ele mostra  um aviso e muda o papel de parede do ambiente de trabalho, como se pode observar abaixo:

CTB_ransomware_4

A mensagem é apresentada em Alemão, Italiano e Inglês de modo que se adapte a diferentes regiões. Porém apesar do idioma espanhol não estar presente, a maioria dos laboratórios de antivírus tem observado esta infecção ativa em muitos países onde se fala espanhol.

Para tranquilizar os usuários sobre a possível recuperação dos arquivos, os cibercriminosos disponibilizam uma demonstração de como é o funcionamento da “descriptação”, como pode ser vista na imagem abaixo:

CTB_ransomware_5

CTB_ransomware_6

Depois do usuário visualizar a demonstração, o criminoso revela como o usuário pode descriptar os arquivos e enviar o pagamento.

CTB_ransomware_7

Outra característica peculiar do CTB-Locker é: não só a mensagem é mostrada ao usuário em diferentes idiomas, mas também mostra o sistema monetário que se adequa à mesma. Se o usuário quiser ver a mensagem em Inglês o preço é mostrado em dólares. Caso contrário, irá surgir em Euros. O preço do resgate é 8 bitcoints, ou seja, cerca de 1680 dólares. De um ponto de vista técnico, o Win32/TrojanDownloader.Elenoocka.A é uma ameaça simples.

Um outro vetor de ataque são as conexões Remote Desktop (RDP ou TS) abertas para a Internet. Muitas empresas deixam seus sistemas abertos sem proteção alguma e com senhas fracas. Um prato cheio para os criminosos, que quebram a senha, obtêm o acesso e encriptam os arquivos.

Este cenário tente a piorar, já que a há cada dia surgem novas categorias de Ransomware. Já circula pela Internet ransomwares para Android, além dos sequestros de sites. Imagine, os riscos para a Internet das Coisas?

Consigo recuperar meus arquivos?

Com o poder computacional existente, praticamente, não há possibilidade de descriptar os arquivos encriptados pelo CTB- Locker. É necessário restaurar os seus arquivos a partir de um backup. Tudo depende de como está a sua estratégia e política de backup.

Se você não usa nenhum software de backup, o método que pode salvar a sua pele é o recurso de “Versões anteriores” do Microsoft Windows. O CTB-Locker não simplesmente encripta o arquivo – faz uma cópia dele,  encripta-o e depois apaga o arquivo original. Por esta razão, pode-se usar um software específico para restauração de arquivos excluídos. Por exemplo, o R-Studio ou Photorec poderiam realizar esta tarefa. Você pode me perguntar por que não é recomendável esperar muito tempo após ser afetado pelo CTB-Locker. A resposta é, quanto mais esperar, mais difícil será para os programas de restauração de arquivos (undelete) recuperarem seus arquivos.
native Windows Previous Versions

Shadow Volume Copies 

ShadowExplorer

No caso de não utilizar a opção de Restauração de sistema do seu sistema operacional, há a opção de usar os snapshots das shadow copies (cópias compras). Eles guardam cópias dos seus arquivos no momento em que o ponto de restauração do seu sistema foi criado. O CTB Locker normalmente tenta apagar todas as Shadow Volume Copies possíveis, mas as vezes ele falha em conseguir isto. Vale a pena mencionar que as Shadow Volume Copies estão disponíveis apenas do Windows XP Service Pack 2 pra frente.

Prevenção

É verdade que a técnica de encriptação utilizada pelo CTB-Locker torna praticamente impossível a recuperação dos arquivos analisados. Porém, existem algumas medidas de segurança que são recomendadas para os usuários e empresas:

  • Se você possui uma solução de segurança para servidores de email, ative a filtragem por extensão. Isto vai ajudá-lo a bloquear arquivos maliciosos com extensões como a .scr, utilizada pelo Win32 / TrojanDownloader.Elenoocka.A.
  • Evite abrir anexos nos emails de origem duvidosa e quando não identifica quem lhe enviou.
  • Apague emails ou marque-os como spam para prevenir que outros usuários sejam infectados por estas ameaças.
  • Caso não possua, adquira uma solução de antivírus e antispam pessoal ou para os computadores de sua empresa.
  • Aplique políticas rígidas em seu software de antivírus, com sistemas HIDS ativos para proteção dos arquivos. Isto pode evitar alterações indevidas dos arquivos
  • Verifique as políticas de acesso a Internet de seu firewall. Adote a política “Bloquear tudo que não for explicitamente permitido”. 
  • Utilize um software de segurança que controle as atividades dos aplicativos instalados no sistema. Não deixando que um executável desconhecido manipule arquivos do Word por exemplo.
  • Utilize VPN para conexões remotas, evitando deixar conexões RDP abertas para a Internet
  • Utilize políticas de senhas fortes
  • Efetue atualizações do sistema com regularidade
  • Mantenha as soluções de segurança atualizadas para detectar as últimas ameaças.

Combate

A Cyber Threat Alliance  (CTA) – uma coalizão das principais empresas de segurança fundada pela Fortinet, Intel Security, Palo Alto Networks e Symantec – foi formada para abordar proativamente apenas este tipo de ameaça por meio de uma profunda pesquisa e compartilhamento de informações. O grupo lançou seu relatório inaugural como parte de seu primeiro projeto. A verdadeira questão era saber se um grupo de grandes fabricantes não poderia colaborar apenas no compartilhamento de amostras de malware (como tem sido feito há anos), mas na colaboração que ajude a todos os fabricantes a desenvolverem mecanismos integrados e melhores estratégias de defesa.

Não se sabe se esta iniciativa realmente renderá frutos, mas fica uma esperança de que os fabricantes e pesquisadores de segurança digital defensiva voltem a obter vantagem nessa guerra.

Além disso, alguns fabricantes como a Kaspersky fizeram aliança com os departamentos de defesa de alguns países para poder lutar contra os criminosos. Eles obtiveram sucesso, obtendo as chaves do ransomware  CoinVault e disponibilizando uma ferramenta que ajuda as vítimas a ter os seus arquivos de volta.

Curiosidade:

Evgeniy Bogachev foi identificado como líder do grupo de criminosos responsáveis pelo desenvolvimento de vários ransomwares (dentre eles o Cryptolocker), com operações baseadas na Rússia e Ucrânia. No momento ele é procurado pelo FBI.

Para saber mais:

 

Este artigo foi lido 5361 vezes!

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep