Ransomware voltando cada vez mais para o Extremo Oriente

Os cybercriminosos que lidam com práticas de ransomware, estão cada vez mais visando oportunidades no Extremo Oriente para capitalizar potenciais novas vítimas. Como grande parte das pessoas interessadas e atuantes no ramo da Segurança da Informação sabe, ransomware foi um fenômeno que surgiu pela primeira vez na Europa e depois se espalhou por todo o mundo. Primeiramente, o foco estava em regiões ricas e de idioma Inglês em todo o mundo. Mas os cybercriminosos cada vez mais tem voltado fortemente a sua atenção para países do Extremo Oriente. Mesmo com um esforço muito grande, atingir um mercado do Extremo Oriente apresenta alguns problemas. Muitos cidadãos do Extremo Oriente não entendem Inglês e se apresentam uma mensagem de pedido de resgate em uma língua estrangeira, eles podem não entender a mesma. Assim, reconhecendo que há um enorme potencial em países como Coréia e Japão para extrair pagamentos de resgate dessas pessoas, os cybercriminosos têm dado o primeiro e mais importante passo para localizar os seus alvos de ransomware para idiomas do Extremo Oriente.

Por exemplo, em dezembro de 2014, foi visto o primeiro caso de ransomware projetado especificamente para atingir usuários de língua japonesa- a partir das atividades de uma variante do TorLocker que foi detectada pela Symantec como Trojan.Cryptolocker. Agora, como mais um sinal desta mudança de estratégia, tem sido possível acompanhar as atividades de uma nova variante de ransomware, que se autodenomina Crypt0L0cker (detectado como Trojan.Cryptolocker.F). Este foi detectado e identificado como uma praga personalizada para, pelo menos, dois países do Leste Asiático. O método utilizado é a infecção drive-by-download, que se dá tipicamente através do uso de kits exploit.

Aprender Novos Idiomas

Uma vez que um computador esteja comprometido, o ransomware exibe uma mensagem específica do idioma local, e a linguagem utilizada é dependente da localização do endereço IP do computador comprometido. Isso porque mensagens de ransomware localizadas em várias línguas na Europa são comuns, mas este pode ser um dos primeiros, juntamente com a variante TorLocker mencionada anteriormente a ser localizada em linguagens em regiões que fazem parte do Extremo Oriente. Portanto, se o ransomware infecta um computador em um país não especificado, ele normalmente irá exibir a mensagem no idioma Inglês. No entanto, se o malware for executado em um computador localizado no Japão ou na Coréia, as mensagens serão exibidas em japonês ou em Hangul, respectivamente, obedecendo o idioma de cada país/região. Importante destacar que todas as mensagens japonesas e coreanas parecem ter sido escritas, potencialmente, por um indivíduo não nativo ou pela utilização de serviços automatizados de tradução on-line; e isso sugere que o atacante não seja nativo ou localizado fora desses países.

Uma vez que o link para pagamento pela recuperação de arquivo for clicado, o usuário é levado a um site de pagamento, onde eles são convidados a pagar 1,8 bitcoins (aproximadamente US$ 400 pelo câmbio atual). Levando em consideração essas investidas, é necessário, urgentemente, tomar medidas para aumentar a proteção contra os ataques de ransomware. Assim, a Symantec tem as seguintes recomendações para ajudar a evitar ou atenuar as infecções provocadas por ransomware como atualizar o software, sistema operacional e plugins de navegador em seu computador para evitar que os atacantes explorem vulnerabilidades conhecidas. Usar um software de segurança abrangente, como o Norton Security, para se proteger de cybercriminosos. Além disso, é preciso regularmente fazer backup de todos os arquivos armazenados em seu computador. Se o seu computador foi comprometido com ransomware, em seguida, esses arquivos podem ser restaurados uma vez que o malware seja removido do computador. E lembre de nunca pagar o resgate. Não há nenhuma garantia de que o atacante irá, de fato, decriptografar os arquivos como prometido, uma vez que eles recebem o pagamento. Os produtos da Symantec e Norton detectam todas as variantes de ransomware, como é o caso do Trojan.Cryptolocker.F.

Para saber mais: https://www.symantec.com/connect/blogs/ransomware-increasingly-turning-far-east

Este artigo foi lido 1732 vezes!