Ransomware: 10 comportamentos que podemos identificar após a infecção de um sistema

Ransomware: 10 comportamentos que podemos identificar após a infecção de um sistema

Analisamos alguns dos comportamentos que um ransomware pode ter em campanhas de propagação da ameaça.

Analisamos alguns dos comportamentos que um ransomware pode ter em campanhas de propagação da ameaça.

Durante os últimos anos, assistimos a inúmeras campanhas maliciosas ligadas ao ransomware. O número de detecções e novas famílias parece continuar crescendo de forma constante. No entanto, em muitos casos, podemos ver diferentes formas de como um ransomware pode afetar dispositivos. Ao longo deste post vamos relembrar o modo de agir de diferentes famílias de ransomware.

A seguir está uma lista de possíveis comportamentos ou padrões desses códigos maliciosos:

#1 Bloqueio do sistema

Como todos sabemos, o ransomware tenta extorquir a vítima para efetuar um pagamento em troca do desbloqueio de um sistema. Um exemplo muito claro é o do malware conhecido como “Reveton” ou “Vírus da polícia”, que, no caso da imagem abaixo, finge ser a polícia mexicana, mas isso pode variar dependendo do país em que a vítima está localizada. Neste caso específico, a desculpa para extorquir a vítima envolve uma notificação, em nome da polícia, de que o usuário deve pagar uma multa pelo compartilhamento de pirataria.

#2 Criptografia de informações

Aplicando conceitos de criptografia avançada, como o RSA 2048, a famosa campanha CTB-Locker conseguiu criptografar um grande número de extensões de arquivos e operar em vários idiomas, garantindo que a vítima não teria problemas para entender a mensagem. Além disso, explica passo a passo como entrar na Deep Web para fazer o pagamento da extorsão.

#3 Bloqueio e criptografia do sistema

Durante os últimos meses, foi mencionado um código malicioso que parecia uma segunda variante do Petya. É um ransomware altamente propagado semelhante ao Petya que criptografa as informações e tenta também criptografar o registro de inicialização principal (Master Boot Record), bloqueando assim o sistema operacional.

 

Outro exemplo mais atual que opera bloqueando e criptografando o sistema é o ransomware Bad Rabbit. Esta variante é conhecida pelo grande número de infecções realizadas, incluindo o metrô de Kiev.

#4 Bloqueio e malware que “fala” para pedir o resgate

Um malware falante? Parece uma piada, já que não estamos falando de um filme de ficção científica, mas de uma ameaça real. Trata-se de um membro da família de ransomware Jisut, mais especificamente o Android/LockScreen.Jisut, que recentemente demonstrou essas “habilidades linguísticas” ao exigir um pagamento para desbloquear um dispositivo.

#5 Criptografia e roubo de informações ou carteiras virtuais

O Cerber, um dos ransomwares mais conhecidos, se tornou mais prejudicial ao adicionar a capacidade de roubar carteiras de Bitcoin, além de sua capacidade de criptografar arquivos e exigir o pagamento de um resgate para recuperá-los.

#6 Extorsão em casos de vazamentos de informações

Em vários meios de comunicação, foram publicados casos em que são usadas fotos privadas e íntimas das vítimas como forma de extorqui-las. Sem ir muito longe, a clínica Grozio Chirurgija, localizada na Lituânia, foi vítima do roubo de 25.000 imagens e de alguns dados particulares de pacientes, como o número do passaporte ou até mesmo a referência do seguro. Com todas essas informações, os cibercriminosos tentaram negociar com a clínica a fim de obter benefícios econômicos, mas ao não obter resposta, decidiram divulgar as fotos privadas na rede.

#7 Ransomware PUBG

Uma amostra detectada pela ESET como MSIL/Filecoder.HD – criptografa as pastas e arquivos localizados “apenas” na área de trabalho do usuário e adiciona a extensão .PUBG. Em seguida, é exibida uma mensagem de recuperação que afirma que, para liberar os arquivos da vítima, tudo o que esse ransomware benigno deseja é que o usuário gaste uma hora jogando PlayerUnknown’s Battlegrounds, mais conhecido como PUBG.

#8 Pagamento com fotos íntimas

Um código malicioso chamado nRansom exige fotos intímas da vítima como forma de pagamento. Independentemente de quem seja a vítima, nunca será lucrativo fornecer esse tipo de informação para a Deep Web.

#9 Ransomware direcionado para dispositivos da IoT

Considerando que o Android é a plataforma mais atacada em dispositivos móveis, não é de surpreender que os dispositivos da IoT que compartilham um sistema operacional semelhante também sejam. Neste sentido, para evitar o que acontece na imagem a seguir, é aconselhável implementar uma solução de segurança em seus dispositivos inteligentes, como a sua Smart TV.

#10 Ransomware direcionado para dispositivos móveis ou tablets

O ransomware conhecido como DoubleLocker é um malware que funciona em dois estágios. Primeiro, tenta esvaziar sua conta bancária ou do PayPal e, em um segundo momento, bloquear seu dispositivo e informações para solicitar o pagamento do resgate. A primeira vez que vimos uma versão de teste ativa de um ransom-banker desse tipo foi em maio de 2017. Além disso, o DoubleLocker pode alterar o PIN do dispositivo, impedir que as vítimas o acessem e criptografar as informações. Sem dúvida, essa é uma combinação única no ecossistema Android.

Conclusão

Como você deve ter observado, essas famílias de códigos maliciosos têm comportamentos únicos e muito diferentes. A dinâmica desse tipo de malware parece não parar na busca de diferentes formas para extorquir um usuário infectado. No entanto, a maneira de se proteger contra essas ameaças permanece a mesma. A fórmula de educação e conscientização, combinada com soluções de segurança (principalmente antivírus e cópias de segurança) é a estratégia mais recomendada para que você não acaba se tornando mais uma vítima.

Leia também:

Discussão