Os ataques de ransomware que anteciparam o Dia das Bruxas

Os ataques de ransomware que anteciparam o Dia das Bruxas

Aproveitamos a comemoração do Dia das Bruxas (Halloween) para relembrar algumas famílias de ransomware que usaram personagens de filmes de terror com o intuito de que as vítimas não tivessem dúvidas de que estavam vivendo um pesadelo.

Aproveitamos a comemoração do Dia das Bruxas (Halloween) para relembrar algumas famílias de ransomware que usaram personagens de filmes de terror com o intuito de que as vítimas não tivessem dúvidas de que estavam vivendo um pesadelo.

Conhecido como Dia das Bruxas, véspera da solenidade do Dia de Todos-os-Santos ou mesmo Halloween (em inglês), essa celebração de origem celta que é comemorada a cada 31 de outubro e se expandiu para diferentes partes do mundo. A comemoração era uma festa que tinha relação com o fim da colheita e sua transição para o período mais “escuro” por ser o fim do verão no hemisfério norte. Embora em uma etapa moderna e como resultado da influência do cristianismo, o Halloween tornou-se a véspera do Dia de Todos-os-Santos e, em seguida, em uma celebração na qual se costuma usar fantasias alusivas ao terror e às bruxas, incluindo brincadeiras de criança como “doce ou travessura”.

E para participar desta festa popular, consideramos interessante rever algumas famílias de ransomware que através de seus ataques podem provocar grandes pesadelos que afetam a realidade de pessoas e empresas, e que usam ​​personagens de filmes de terror ou que transmitem certo grau de medo no contexto dos filmes.

Ransomware Anabelle

Iremos começar falando sobre o ransomware Anabelle. Rotulado como um pesadelo, este ransomware leva esse nome em homenagem ao filme de terror Anabelle. Embora não busque obter um benefício econômico por meio de seus ataques, pode causar diversos prejuízos. Essa família se enquadra na categoria de ameaças pelas quais seus desenvolvedores tentam demonstrar suas habilidades.

Como a ameaça realiza os ataques? Ao infectar suas vítimas, esse ransomware criptografa arquivos com a extensão .ANABELLE; desabilita o Windows Defender e o firewall; tenta se propagar para drives USB e, como se isso não bastasse, substitui o registro mestre de inicialização por um gerenciador de inicialização específico. Mas, felizmente, este ransomware conta com uma ferramenta de descriptografia que pode ser baixada através do site nomoreransom.

Imagem exibida pelo ransomware após infectar as vítimas e que usa o personagem do filme de terror Anabelle.

Ransomware Jigsaw 

Projetado em 2016, este ransomware usa uma imagem do personagem principal (Billy) do filme Jigsaw na hora em que apresenta sua mensagem para as vítimas. Assim como a maioria dos ransomwares, o Jigsaw criptografa imagens, vídeos, documentos e todos os tipos de arquivos. Uma das peculiaridades desse ransomware e o que o torna um pesadelo ainda maior é que, se a vítima demorar para pagar o resgate, a cada hora que passa, os arquivos serão eliminados, gerando ainda mais desespero para o usuário.

Nessa mensagem, o Jigsaw diz que durante as primeiras 24 horas apenas alguns arquivos serão excluídos, mas depois desse tempo, serão eliminados milhares de arquivos a cada dia que passe sem que o pagamento seja realizado. Além disso, caso o usuário tente fechar o sistema ou desligar o computador, o Jigsaw excluirá 1.000 arquivos ao ser iniciado novamente como uma forma de punição.

Felizmente, já está disponível uma ferramenta de descriptografia que pode ser baixada pelo site nomoreransom.

Imagem do ransomware Jigsaw com a mensagem apresentada para as vítimas.

Ransomware Killer Locker 

Assim como o Jigsaw, esse ransomware foi detectado em 2016 e, de acordo com algumas fontes, estima-se que possa ser uma variante desse último. Um sintoma disso é que depois de infectar a vítima, a ameaça modifica a imagem de fundo do computador com uma imagem semelhante à do Jigsaw, mas no caso do Killer Locker, embora não seja um personagem conhecido de um filme de terror, trata-se de um palhaço diabólico com quem mais de uma vítima teria pesadelos depois de ser infectado.

Esse ransomware criptografa arquivos com as extensões xls, xlsm, xlsx, jpg, docx, pdf, doc e docm do dispositivo infectado e adiciona a extensão .rip a cada arquivo; exibe uma mensagem em português e dá 48 horas para que as vítimas se comunicarem com os cibercriminosos para efetuar o pagamento pelo resgate de seus arquivos.

Até um tempo atrás, algumas fontes diziam que o Killer Locker estava à venda na dark web para aqueles que desejassem comprá-lo como um serviço.

Imagem do palhaço diabólico usada como imagem de fundo em computadores infectados.

Ransomware Nagini

Também detectado pela primeira vez em 2016, assim como os dois anteriores, esse ransomware chamado Nagini modifica a imagem de fundo dos dispositivos infectados com uma imagem aterrorizante do Voldemort – personagem da popular série Harry Potter.

De acordo com informações publicadas sobre este ransomware, quando foi detectado, a ameaça ainda estava em desenvolvimento e apenas criptografava arquivos com as extensões .doc, .docx, .ppt, pptx, .xls, .xlsx, .bmp, .png, .jpg ,. jpeg, .exe e .pdf. Por outro lado, uma particularidade do Nagini é que, ao contrário da maioria dos ransomwares que exigem um pagamento em Bitcoins, neste caso a ameaça solicita o número de um cartão de crédito.

Imagem do Voldemort inserida pelo ransomware Nagini no dispositivo infectado.

Ransomware Globe 

Aparentemente, 2016 foi um ano em que os desenvolvedores de ransomware escolheram usar imagens de personagens ou filmes populares em seus ataques. Como vimos nos casos anteriores, o ransomware Globe não é exceção e usa uma imagem do filme de terror “The Purge: Election Year”, que no Brasil é conhecido como “12 Horas Para Sobreviver – O Ano da Eleição/Uma Noite de Crime 3”.

Como a maioria dos ransomwares, ao infectar as vítimas, a ameaça criptografa seus arquivos e exibe um alerta com a solicitação de resgate para que o usuário afetado possa recuperar seus arquivos.

Para o ransomware Globe, também está disponível uma ferramenta de descriptografia gratuita que pode ser baixada através do site nomoreransom.org.

Imagem do filme “The Purge: Election Year” usada pelo ransomware Globe.

Ransomware Onyx

No último lugar dessa lista de famílias de ransomware que usavam personagens, principalmente filmes de terror, chegamos ao ransomware Onyx. Esta família mostra a mensagem de alerta com uma imagem do personagem misterioso que aparece no filme “A Viagem de Chihiro”. Apesar de não ser um filme de terror, aqueles que assistiram este filme vão conhecer o lado escuro que representa esse personagem conhecido como “No Face” ou “sem rosto”.

No caso do ransomware Onyx, detectado em 2016, bem como vários dos anteriores, foi propagado na época através de anúncios publicitários e e-mails de spam, entre outros. Com uma mensagem escrita em georgiano, que definiria o padrão destinado a usuários naquele país, esse malware solicita um pagamento de US$ 100 para restaurar os arquivos infectados.

Imagem do personagem “No face” do filme “The Spirited Away” usada pelo ransomware Onyx.

A equipe do WeLiveSecurity deseja a todos um Feliz Dia das Bruxas e recomenda que você faça uso responsável e seguro da tecnologia para evitar situações angustiantes, como aquelas vivenciadas em filmes de terror.

Discussão