Vírus que sequestra e criptografa o computador está de volta. O sequestrado tem que pagar resgate para que o computador seja liberado.
Alert (TA14-295A)
Crypto Ransomware
Data de lançamento original: 22 de outubro de 2014
Ransomware é um tipo de software malicioso (malware) que infecta um computador e restringe o acesso a ele até que um resgate seja pago para desbloqueá-lo. Este alerta é o resultado do Centro Canadense de Cyber Incident Response (CCIRC) análise em coordenação com os Estados Unidos Departamento de Segurança Interna (DHS) para fornecer mais informações sobre criptografia ransomware, especificamente:
Apresente suas principais características, explicar a prevalência de ransomware, ea proliferação de variantes de ransomware crypto; e
Fornecer informação e prevenção de mitigação.
Descrição
O QUE É O ransomware?
Ransomware é um tipo de malware que infecta um computador e restringe o acesso de um usuário para o computador infectado. Este tipo de malware, que já foi observado por vários anos, tenta extorquir dinheiro de vítimas, exibindo um alerta na tela. Esses alertas muitas vezes afirmam que o seu computador foi bloqueado ou que todos os seus arquivos foram criptografados, e exigir que um resgate seja pago para restaurar o acesso. Este resgate é tipicamente na faixa de US $ 100-US $ 300 dólares, e às vezes é exigido em moeda virtual, como o Bitcoin.
Ransomware é normalmente transmitido através de phishing e-mails que contenham anexos maliciosos e drive-by download. Drive-by download ocorre quando um usuário sem saber visita um site infectado eo malware sejam baixados e instalados sem o seu conhecimento. Ransomware Crypto, uma variante que criptografa arquivos, normalmente é transmitida através de métodos semelhantes, e se espalhou por meio de aplicativos de mensagens instantâneas baseadas na web.
Por que é tão EFICAZ?
Os autores do ransomware instilar o medo e pânico em suas vítimas, fazendo-os clicar em um link ou pagar um resgate, e, inevitavelmente, tornar-se infectado com malware adicional, incluindo mensagens semelhantes às seguintes:
"O seu computador foi infectado com um vírus. Clique aqui para resolver o problema. "
"Seu computador foi usado para visitar sites com conteúdo ilegal. Para desbloquear o computador, você deve pagar uma multa de 100 dólares. "
"Todos os arquivos em seu computador foram criptografados. Você deve pagar este resgate dentro de 72 horas para recuperar o acesso aos seus dados. "
PROLIFERAÇÃO de variantes
Em 2012, a Symantec, usando dados de um servidor de comando e controle (C2) de 5.700 computadores comprometidos em um dia, estima-se que cerca de 2,9 por cento desses usuários comprometidos pagou o resgate. Com uma média de resgate de US $ 200, isso significava atores maliciosos lucrou 33,600 dólares por dia, ou 394,4 mil dolares por mês, a partir de um único servidor C2. Estas estimativas aproximadas demonstrar como ransomware pode ser rentável para os atores maliciosos.
Este sucesso financeiro provavelmente levou a uma proliferação de variantes de ransomware. Em 2013, mais variantes de ransomware destrutivos e lucrativas foram introduzidas, incluindo Xorist, CryptorBit e CryptoLocker . Algumas variantes criptografar não apenas os arquivos do dispositivo infectado, mas também o conteúdo de unidades compartilhadas ou em rede. Essas variantes são considerados destrutiva porque criptografar arquivos do usuário e organização de, e torná-las inúteis até criminosos receber um resgate.
Outras variantes observadas em 2014 incluiu CryptoDefense e Cryptowall, que também são considerados destrutivo. Os relatórios indicam que CryptoDefense e Cryptowall compartilham o mesmo código, e que somente o nome do malware em si é diferente. Semelhante ao CryptoLocker, estas variantes também criptografar arquivos no computador local, arquivos de rede compartilhados, e mídia removível.
LINKS PARA OUTROS TIPOS DE MALWARE
Sistemas infectados com o ransomware também são frequentemente infectados com outros tipos de malware. No caso de CryptoLocker, um usuário normalmente é infectado através da abertura de um anexo malicioso a partir de um e-mail. Este anexo malicioso contém Upatre, um downloader, que infecta o usuário com GameOver Zeus . GameOver Zeus é uma variante do Zeus Trojan que rouba informações bancárias e também é usado para roubar outros tipos de dados. Uma vez que o sistema está infectado com GameOver Zeus, Upatre também irá baixar CryptoLocker. Finalmente, CryptoLocker criptografa arquivos no sistema infectado, e solicita que um resgate seja pago.
Os laços estreitos entre ransomware e outros tipos de malware foram demonstrados por meio da recente operação botnet rompimento contra GameOver Zeus, que também se mostrou eficaz contra CryptoLocker. Em junho de 2014, uma operação internacional de aplicação da lei enfraquecido com sucesso a infra-estrutura de ambos GameOver Zeus e CryptoLocker.
Impacto
O ransomware não só alvo usuários domésticos; empresas também podem se infectar com ransomware, que pode ter consequências negativas, incluindo:
A perda temporária ou permanente de informações confidenciais ou proprietárias;
Interrupção das operações regulares;
Perdas financeiras para restaurar os sistemas e arquivos; e
Potencial dano à reputação de uma organização.
Pagar o resgate não garante os arquivos criptografados será lançado; ele apenas garante que os atores maliciosos receber o dinheiro da vítima, e, em alguns casos, suas informações bancárias. Além disso, a desencriptação de ficheiros não significa que o mau funcionamentos em si tiver sido removido.
Solução
As infecções podem ser devastadores para uma pessoa ou organização, ea recuperação pode ser um processo difícil, que pode requerer os serviços de um especialista em recuperação de dados respeitável.
US-CERT e CCIRC recomendamos aos usuários e administradores de tomar as seguintes medidas preventivas para proteger suas redes de computador da infecção ransomware:
Faça backups regulares de toda a informação crítica para limitar o impacto de dados ou perda do sistema e para ajudar a acelerar o processo de recuperação. Idealmente, esses dados devem ser mantidos em um dispositivo separado, e backups devem ser armazenados off-line.
Manter-se-to-date software anti-vírus.
Mantenha seu sistema operacional e software up-to-date com as últimas correções.
Não siga links da web não solicitadas no e-mail. Consulte a Dica de segurança Evitando engenharia social e ataques de phishing para obter mais informações sobre ataques de engenharia social.
Tenha cuidado ao abrir anexos de e-mail. Para informações sobre uma manipulação segura de anexos de e-mail, consulte reconhecer e evitar e-mail scams .
Siga as práticas de segurança ao navegar na web. Veja bons hábitos de segurança e salvaguarda dos seus dados para obter detalhes adicionais.
Indivíduos ou organizações não são incentivados a pagar o resgate, pois isso não garante arquivos serão liberados. Instâncias de relatório de fraude com o FBI na Internet Crime Complaint Center ou entre em contato com o CCIRC (link envia e-mail) .
Referências
Kaspersky Lab, o Kaspersky Lab detecta móvel Trojan Svpeng: Malware financeiro com recursos de ransomware agora visando US (link é externo)
Estados Unidos Nacional de Cibersegurança e Comunicações Centro de Integração, Cryptolocker Ransomware (link é externo)
Sophos / Naked Security, O que vem por ransomware? CryptoWall pega onde CryptoLocker parou (link é externo)
Symantec, CryptoDefence, o CryptoLocker imitador, faz mais de $ 34.000 em um mês (link é externo)
Symantec, Cryptolocker: A Ameaça Próspera (link é externo)
Symantec, Cryptolocker Q & A: Menace of the Year (link é externo)
Symantec, Wounds Internacional Takedown Gameover Zeus Cibercrime Rede (link é externo)
Revisões
Publicação inicial, 22 de outubro de 2014
Comentários