Check Point descobre duas novas famílias de ransomware
A Check Point, fabricante mundial especializado em segurança, revelou a descoberta de duas novas famílias de ransomware, o DeriaLock e o PHP Ransomware. A empresa indica que já disponibiliza as soluções de desencriptação para estas ameaças, que podem ajudar as vítimas a recuperar de forma gratuita os dados perdidos.
O DeriaLock apareceu pela primeira vez a 24 de dezembro de 2016 mas, nas primeiras horas, apenas tomava o controlo do ecrã da vítima e impedia o acesso ao computador. Em seguida, este malware evoluiu e passou a ter um mecanismo de encriptação de ficheiros e a ameaçar os utilizadores com a sua eliminação total se tentassem reiniciar os seus equipamentos. O pedido de regate é de 30 dólares, um preço relativamente abaixo das outras famílias de ransomware ativas.
A equipa de investigadores da Check Point também descobriu uma nova ameaça na forma de um script PHP que encripta os ficheiros da vítima mas que não é considerado exatamente um ransomware.
Este script não apresenta nenhuma nota de resgate, não tenta comunicar com um servidor de comando e controlo, o que geralmente permite rastrear o número de máquinas infetadas, descarregar executáveis ou realizar outras atividades malignas.
O PHP Ransomware procura ficheiros com uma das seguintes extensões:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso
Se encontra um desses ficheiros, o script muda as permissões de acesso e encripta-os adicionando “.crypted” ao nome. O PHP Ransomware vê apenas os primeiros 2048 bytes do ficheiro, assim, só ficheiros menores a 2MB são totamente encriptados.
Para aceder às ferramentas de desencriptação destas ameaças basta ir ao blogue da Check Point e descarregar os desencriptadores e as instruções de uso. Antes de iniciar o processo, a empresa de segurança recomenda que se faça uma cópia de segurança ao disco rígido.
A Check Point é parceira do projeto No More Ransom (NMR), cujo objetivo é lutar contra a epidemia do sequestro digital, disponibilizando, por isso mesmo, as suas ferramentas de desencriptação de forma pública e gratuita.
