CTB-Locker – Novo virus que bloqueia os nossos ficheiros

ctb-locker envia um email falso que supostamente contém um Fax com código malicioso que tem como principal objectivo encriptar os ficheiros das vítimas de modo a exigir um resgate em bitcoins.

policeransom

O ransomware, como o TorrentLocker, que mereceu destaque no blog da ESET, tem vindo a surgir com mais frequência e ainda em mais zonas do globo.

Recentemente, começámos a receber novos alertas acerca de campanhas de malware que se estão a espalhar em diversos países, nomeadamente na América Latina e Europa de Leste.

CTB_ransomware_1

Neste artigo vamos verificar como estas campanhas espalham uma nova variante do Ransomware CTB-Locker, causando dores de cabeça a milhares de utilizadores. Polónia, República Checa e México são até agora os países mais afectados, como podemos verificar no gráfico representado abaixo.

CTB_ransomware_2-1024x612

Este ataque começa com um email falso que chega à caixa de correio do utilizador. O assunto do e-mail quer fazer o utilizador acreditar que o anexo é um fax, um ficheiro falso detectado pela ESET como Win32/TrojanDownloader.Elenoocka.A. Se abrir este ficheiro e o seu antivírus não o proteger uma variante do Win32/FileCoder.DA será descarregada para o seu sistema, encrostando todos os ficheiros. Se não pagar o resgate em bitcoins irá perder os seus ficheiros para sempre.

CTB_ransomware_3

Algumas variantes do Win32/TrojanDownloader.Elenoocka.A ligam-se a um endereço remoto para descarregarem malware detectado pela ESET como Win32/FileCoder.DA e conhecido como CTB‑locker. Esta família de malware encripta todos os ficheiros de forma similar ao CryptoLocker, sendo que a diferença principal reside no facto desta família de malware utilizar outro algoritmo de encriptação, do qual o nome deriva.

O resultado é similar ao do CryptoLocker ou do TorrentLocker, em que ficheiros com extensões como mp4, .pem, .jpg, .doc, .cer, .db etc. são encrostados com uma chave, o que torna virtualmente impossível a recuperação. Assim que o malware acaba de encriptar as informações dos utilizadores, revela um aviso e muda o papel de parede do ambiente de trabalho como se pode observar em baixo.

CTB_ransomware_4

A mensagem é apresentada em Alemão, Italiano e Inglês de modo que se adapte a diferentes regiões. Porém e apesar do idioma espanhol não estar presente, temos observado esta infecção activa em muitos países onde se fala espanhol.

Para tranquilizar os utilizadores acerca da possível recuperação dos ficheiros os cibercriminosos disponibilizam uma demonstração do funcionamento desta ameaça que pode ser vista na imagem abaixo:

CTB_ransomware_5

CTB_ransomware_6

Depois do utilizador visualizar a demonstração, o criminoso revela com o utilizador pode desencriptar os ficheiros e enviar as bitcoins (BTC). Até disponibilizam métodos de trocar as bitcoins caso a vítima não as possua:

CTB_ransomware_7

Outra cacterística peculiar do CTB-Locker é esta: não só a mensagem é mostrada ao utilizador em diferentes idioma, mas também mostra o sistema monetário que se adequa à mesma. Se o utilizador quiser ver a mensagem em Inglês o preço é mostrado em dólares. Caso contrário, irá surgir em Euros. O preço do resgate é 8 bitcoints, ou seja, cerca de 1680 dólares.

De um ponto de vista técnico, o Win32 / TrojanDownloader.Elenoocka.A é uma ameaça simples. Existem diversas campanhas em curso, como as que mencionámos acima e descobrimos uma outra que que como anexo o ficheiro invoice_2015_01_20-15_33 .scr. Quando se executa abre um documento RTF no Word.

É verdade que a técnica de encriptação utilizada pelo CTB-Locker torna impossível a recuperação de ficheiros pelo payload analisado. Porém, existem algumas medidas de segurança que são recomendadas para utilizadores e empresas:

Se tem uma solução de segurança para servidores de email, active a filtragem por extensão. Isto vai ajudá-lo a bloquear ficheiros maliciosos com extensões como a .scr, utilizada pelo Win32 / TrojanDownloader.Elenoocka.A.
Evite abrir anexos nos emails de origem duvidosa e quando não identifica quem lhe enviou.
Apague emails ou marque-os como spam para prevenir que outros utilizadores sejam infectados por estas ameaças.
Mantenha as soluções de segurança actualizadas para detectar as últimas ameaças.
Efectue actualizações de sistema com regularidade.

 

Já sofreu um ataque semelhante e ficou sem os seus ficheiros ?

 

Infelizmente não há muito que se possa fazer para recuperar os seus ficheiros.

No entanto podemos ajuda-lo a manter a sua informação segura caso isso lhe aconteça.

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

Inscreva-se e Receba Grátis:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos
Avaliar Artigo:
[5 Estrelas]

DEIXAR COMENTÁRIO:

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

Categorias:

PROBLEMAS INFORMÁTICOS?
Escolha aqui um serviço!

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.