Total de visualizações de página

segunda-feira, 9 de janeiro de 2017

Check Point descobre duas novas famílias de ransomware


Mafalda Freire, 
2017/01/09, 13:00
Postado em 09 dee janeiro de 2017 às 22h40m
GIPOPE - GARIBA'S Logística for 2012 - 2013

A Check Point, fabricante mundial especializado em segurança, revelou a descoberta de duas novas famílias de ransomware, o DeriaLock e o PHP Ransomware. A empresa indica que já disponibiliza as soluções de desencriptação para essas ameaças, que podem ajudar as vítimas a recuperar de forma gratuita os dados perdidos.

O DeriaLock apareceu pela primeira vez a 24 de dezembro de 2016 mas, nas primeiras horas, apenas  tomava o controlo da tela da vítima e impedia o acesso ao computador. Em seguida, esse malware evoluiu e passou a ter um mecanismo de encriptação de arquivos e a ameaçar os usuários com sua eliminação total se tentassem reiniciar seus equipamentos. O pedido de regate é de US$ 30 dólares, um preço relativamente abaixo das outras famílias de ransomware ativas.


A equipa de investigadores da Check Point também descobriu uma nova ameaça na forma de um script PHP que encripta os arquivos da vítima mas que não é considerado exatamente um ransomware.

Esse script não apresenta nenhuma nota de resgate nem tenta receber um pagamento para desencriptar os dados, não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.

O PHP Ransomware procura arquivos relevantes com uma das seguintes extensões:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso.
   
Se encontra um desses arquivos, o script muda as permissões de acesso e encripta-os adicionando .crypted ao nome. O PHP Ransomware vê apenas os primeiros 2048 bytes do arquivo, assim, só ficheiros menores a 2MB são totamente encriptados.

Para acessar às ferramentas de desencriptação destas ameaças basta ir ao blogue da Check Point e baixar os desencriptadores assim como as instruções de uso. Antes de iniciar o processo, a empresa de segurança recomenda que se faça uma cópia de segurança ao disco rígido.

A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, suas ferramentas de desencriptação de forma pública e gratuita.

Nenhum comentário:

Postar um comentário